Los hackers entran en TikTok mostrando vídeos falsos sobre el Covid-19, ¿es grave?

TikTok es una de las redes sociales que más crecimiento han tenido en los últimos tiempos, con un año 2019 estelar donde se colocó entre las apps más descargadas del mundo. Tanto en iPhone como en Android, lo que le supuso multiplicar sus expectativas de negocio de cara a los próximos tiempos.

Y claro, cuando uno sobresale tanto y se convierte en el rival a batir, no solo los usuarios colapsan tus páginas sino que el lado oscuro de internet pone sus ojos en tus vídeos de apenas 60 segundos. Así que es normal (si es que podemos entenderlo así) que en el momento en el que te conviertes en un lugar donde se concentran millones de participantes, los hackers busquen ganancias intentando servirse de ese éxito.

Y ha ocurrido, aunque seguramente de la manera que nadie esperaba porque lo que ha ocurrido es que dos hackers han conseguido colársela a TikTok para que, con la excusa de ofrecer contenidos basados verificados sobre la crisis del Covid-19, muestren contenidos fake. Eso sí, por suerte, estos dos piratas no buscaban ganar dinero, sino dar a conocer esta peligrosa vulnerabilidad.

Cuentas falsas en vez de verificadas

Han sido dos investigadores de iOS que se autodenominan Mysk, los que han dado la voz de alarma ante un exploit que afecta a Tiktok y que les ha permitido aprovechar una vulnerabilidad en la red social que les ha dejado intercambiar vídeos de cuentas verificadas con otras falsas para mostrárselos a todos los usuarios presentes dentro de una misma red local.

We tricked #TikTok to connect to our fake server. We hijacked the timeline so the app shows spam videos about #COVID19#Security #Cybersecurity #Hacking

For more on this: https://t.co/0e7RGyleIW pic.twitter.com/49BbkYbunq

— Mysk (@mysk_co) April 13, 2020

En la prueba que llevaron a cabo, consiguieron colar contenidos falsos en cuentas verificadas como la de la Organización Mundial de la Salud (OMS), de tal forma que quienes lo vieran podían pensar que, en realidad, esos contenidos eran obra del organismo internacional. La forma en la que estos hackers (llamados éticos porque buscan descubrir fallos para que sean arreglados) llevaron a cabo las pruebas no afectó al funcionamiento normal de TikTok, ya que se realizaron dentro de un entorno de red local ajeno a los ojos del público habitual.

Este exploit consiguieron aprovecharlo gracias a un error en el protocolo HTTP de TikTok, que es el que se utiliza para intercambiar contenidos dentro de la red social y que, por desgracia, es bastante menos seguro que el que se puede ver en otras apps. Aun así, es de esperar que la compañía aproveche este aviso para cerrar cualquier amenaza y evitar daños mayores a los usuarios. De haber sido otros hackers, los responsables del descubrimiento, podrían haber colado en algunos de estos vídeos URL maliciosas creadas ex profeso para llevar a cabo todo tipo de estafas.

Esta vulnerabilidad encontrada en la aplicación de TikTok afecta a las dos versiones, tanto iOS como Android. En el caso de los dispositivos de Apple, se trata de las versiones 15.5.6 o anteriores y en las del OS de Google, de la 15.7.4. Esperemos que llegue pronto un update para cerrar estas amenazas.