Encuentran una vulnerabilidad en TikTok que deja al descubierto datos como el número de teléfono y la información de los perfiles de usuarios

La compañía israelí de ciberseguridad Check Point ha descubierto nuevas vulnerabilidades en la seguridad de TikTok, que dejan al descubierto datos personales como el número de teléfono y la información de usuario de un billón de cuentas repartidas en 150 países.

Concretamente, el error estaría en la función "Encontrar amigos", explica la compañía, que permitiría a ciberdelincuentes acceder a la información del perfil de los usuarios. Esta incluye el número de teléfono, nombre, foto de perfil, avatar, identificaciones únicas e incluso configuración del perfil. 

Para que el ciberdelincuente explote la vulnerabilidad, crea una lista de dispositivos que se utilizarán para consultar los servidores de TikTok. A continuación, este establece otra lista de tokens de sesión con el mismo fin y evitaría el mecanismo de firma de mensajes HTTP de la plataforma, utilizando su propio servicio de firma en segundo plano. Finalmente, el ciberdelincuente une estos elementos para saltarse todos los mecanismos de protección, según expone Check Point.

"En esta ocasión, el estudio que hemos llevado a cabo sobre esta aplicación tenía como objetivo explorar la privacidad de TikTok y saber si la plataforma podía utilizarse para obtener datos privados de los usuarios. Descubrimos que, efectivamente, es posible, ya que hemos podido eludir múltiples mecanismos de protección de TikTok", señala en un comunicado Oded Vanunu, jefe de investigación de Vulnerabilidad de Productos de Check Point. "La vulnerabilidad podría haber permitido a un atacante crear una base de datos con información de los usuarios y sus respectivos números de teléfono, gracias a la cual un ciberdelincuente podría realizar una serie de actividades maliciosas, como el spear phishing".

Una tragedia mortal en TikTok pone en entredicho las medidas de seguridad de la red social para proteger a menores de edad

Asimismo, desde Check Point aconseja a los usuarios de la plataforma que eviten compartir sus datos personales y que actualicen su sistema operativo y sus apps con las últimas versiones para estar protegidos. La compañía asegura haber compartido estos datos con ByteDance, la empresa responsable de la red social, junto a una serie de recomendaciones. Según ha explicado TikTok a Business Insider, el error ha sido reparado.

"La seguridad y privacidad de la comunidad en TikTok son nuestra máxima prioridad. Apreciamos los esfuerzos de Check Point de identificar problemas potenciales para que podamos resolverlos antes de que tengan un impacto en los usuarios. Seguimos invirtiendo en fortalecer nuestras defensas para minimizar este tipo de ataques", defiende la compañía china en un comunicado.

Business Insider crea un usuario ficticio en TikTok de 14 años para comprobar si se muestran anuncios sobre rinoplastias y cirugías estéticas: el primero aparece en tan solo 8 minutos

Check Point ya alertó de un fallo de seguridad en enero de 2020 que permitía a personas externas manipular datos (añadir y eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales.

TikTok fue la app más popular en España en 2020, con más de 8,4 millones de descargas, segúnStatista, seguido por WhatsApp y Zoom, con 6,6 y 6,4 millones de descargas, respectivamente. La app china triunfó especialmente durante el confinamiento, siendo los jóvenes su principal público.