Así funcionaba el agujero de seguridad de TikTok que permitía a los 'hackers' acceder a los vídeos privados de sus usuarios

• La app de vídeos cortos TikTok ha sufrido un grave agujero de seguridad que habría permitido a ciberdelincuentes haber accedido a datos sensibles de sus miles de usuarios.
• Lo ha descubierto Check Point, si bien la popular red social ha defendido en Forbes que el problema ya ha sido subsanado y comprobado por la firma de ciberseguridad.
• El problema estaba en los SMS que la app envía a sus usuarios para descargar la app en nuevos terminales: hackers podían modificar a su antojo la dirección de descarga e invitar a más de un incauto a caer en una web maliciosa.
• Descubre más historias en Business Insider España.

TikTok, la popular aplicación china de vídeos cortos, ha sufrido una grave vulnerabilidad que puede exponer los datos sensibles de sus usuarios. La firma encargada de desvelarla ha sido Check Point, que ha explicado en su blog cómo funciona este problema de ciberseguridad, y cuáles son los riesgos reales a los que se enfrenta su comunidad.

Todo empieza en la página de inicio de la propia app, que permite a los usuarios introducir en un campo de formulario su número de teléfono. El objetivo es recibir un SMS con un enlace para descargar la aplicación en el dispositivo en el que se vaya a utilizar.

El problema es que los ciberdelincuentes pueden hacerse con el control de esta herramienta para enviar mensajes a usuarios de la plataforma y hacer además que parezcan realmente enviados por la compañía. Para ello pueden utilizar una herramienta de seguridad informática de fácil acceso, y editar el enlace que TikTok envía a sus potenciales usuarios para descargar la app.

¿Qué consiguen de ese modo? Enviar enlaces a páginas maliciosas cuando en realidad los usuarios creen que están accediendo a la descarga de la app legítima. Así, Check Point advierte que los ciberdelincuentes pueden acceder a las cuentas de múltiples usuarios de TikTok, borrar vídeos, subir vídeos sin autorizar, convertir los vídeos privados en públicos o revelar información personal de las cuentas, como la dirección de correo electrónico.

Check Point ha explicado cómo sus expertos aprovecharon esta vulnerabilidad para recuperar de facto la información personal que muchos usuarios ceden a la hora de crear sus cuentas. Recopilaron, por ejemplo, varias fechas de cumpleaños y direcciones de correos electrónicos. La compañía de ciberseguridad ya ha trasladado a TikTok esta vulnerabilidad, que Check Point ha calificado de "crítica".

Oded Vanunu es el jefe de Investigación de Vulnerabilidades de Check Point. Considera que este tipo de aplicaciones de redes sociales "son muy susceptibles" de ser atacadas por ciberdelincuentes, ya que "proporcionan una buena fuente de datos privados y abren una puerta de ataque". Advierte además que los cibercriminales "están invirtiendo grandes cantidades de dinero y dedicando muchos esfuerzos para penetrar en aplicaciones tan masivas".

Uno de los mayores riesgos de este tipo de apps es, a juicio de Vanunu, que "la mayoría de los usuarios suponen que están protegidos por la aplicación que están utilizando".

Por su parte, TikTok ya ha confirmado la existencia de esta vulnerabilidad: según Forbes, un portavoz de la compañía ha incidido en que el agujero ha sido subsanado en cuanto Check Point les ha comunicado la existencia del problema. También ha enfatizado en que TikTok está muy concienciada en la protección de los datos de sus usuarios.

"Antes de la publicación de la vulnerabilidad, Check Point ratificó que todos los errores detectados ya los habíamos solucionado en la última versión de nuestra aplicación". "Esperamos que esta exitosa solución nos ayude a mejorar la colaboración con los investigadores en ciberseguridad", zanjan.

TikTok es, desde hace meses, una de las aplicaciones más populares entre jóvenes de la llamada generación Z. Sin embargo, en los últimos meses ha recibido múltiples críticas por los orígenes chinos de la plataforma. También por la gestión de su comunidad de sus usuarios.

En noviembre se supo que el Ejército de los Estados Unidos estaba investigando la aplicación precisamente preocupado por la seguridad de los datos de los usuarios. Un mes después la Marina estadounidense comenzó a prohibir la presencia de esta app en los teléfonos móviles emitidos por el Gobierno de los EE. UU. por representar "una amenaza de ciberseguridad".

También el mes pasado la app protagonizó otro escándalo al expulsar a una usuaria de su red, Feroza Aziz, después de que esta criticara el régimen chino por la represión que ejerce contra los musulmanes uigures. Aunque la app se disculpó públicamente con esta joven de 17 años, no convenció a muchos.

Al mismo tiempo se conoció que la compañía había ordenado a los moderadores de sus contenidos que ocultaran los vídeos que subiesen los usuarios con discapacidad. La orden, que destapó un medio alemán, Netzpolitik, fue confirmada posteriormente por la propia TikTok, que llegó a justificarse asegurando que fue una solución temporal para evitar escenarios de acoso y bullying.