Especialistas en ciberseguridad reportan la detección de una nueva campaña de phishing contra usuarios destacados en TikTok, incluyendo influencers, consultores de marketing, estudios digitales y managers de celebridades. Según el reporte de Abnormal Security, esta campaña tuvo su punto de actividad más alto entre el 2 de octubre y el 1 de noviembre, aunque es probable que siga activa.
Los investigadores mencionan que, en la mayoría de los casos, los atacantes se hacen pasar por miembros del staff de TikTok y contactan a los usuarios afectados asegurando que la cuenta podría ser eliminada debido a una supuesta violación en los términos de uso de la plataforma de videos.
En otras variantes del fraude, los actores de amenazas podrían ofrecer la verificación de la cuenta. Sea cual sea el mensaje enviado por los hackers, este ataque parece ser muy efectivo para llamar la atención de los usuarios.
Los mensajes incluyen un enlace que redirige a los usuarios a un chat de WhatsApp operado por los cibercriminales, donde se solicita a las víctimas entregar su dirección email, números telefónicos y un código de verificación enviado a sus dispositivos, el cual funciona como método de autenticación multifactor.
Aún se desconoce cuál es el objetivo real de los hackers detrás de este ataque, aunque una posible explicación es que tratan de tomar control de cuentas valiosas en TikTok con el fin de extorsionar a los propietarios legítimos y obtener ganancias a cambio de devolver el control de las cuentas. Además existe el riesgo real de la eliminación definitiva de las cuentas afectadas, esto en caso de que la compañía considere que este es un incumplimiento a sus términos de servicio, lo que pone más presión sobre los usuarios afectados.
La mejor forma de evitar convertirse en víctima de estos ataques es ignorar cualquier email sospechoso o que incluya archivos adjuntos o enlaces a sitios web externos. Recuerde que TikTok no solicita claves de acceso o información confidencial vía WhatsApp, por lo que cualquier escenario similar sin duda se trata de un intento de estafa.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.