TikTok, la famosa aplicación de vídeos cortos musicales y de coreografías que ya usan más de 1.000 millones de personas en todo el mundo, habría experimentado una brecha de seguridad "de alta gravedad".
Así lo advierte un post en el blog del equipo de investigación Microsoft Defender 365, que detalla lo ocurrido.
El ataque constaría de un enlace diseñado para que los usuarios de TikTok hicieran click. Solo con esta acción sería factible para los actores de amenazas poder cambiar la biografía de las cuentas de la red social.
La vulnerabilidad permitiría a los piratas informáticos secuestrar las cuentas de los usuarios sin su conociiento, modificando sus perfiles a su antojo y dándoles acceso a su información confidencial.
Así, los cibermalos podrían hacer cosas como publicar vídeos privados, cargar vídeos en nombre de los usuarios o enviar mensajes haciéndose pasar por ellos.
La evaluación de vulnerabilidades de Microsoft determinó que el problema estaba presente en todas las versiones globales de la aplicación de Android de TikTok, que acumula más de 1.500 millones de instalaciones combinadas a través de Google Play Store.
Desde TikTok niegan que haya habido una violación de la seguridad. Un portavoz de la casa ha comentado a Forbes que no habían encontrado evidencias de ninguna brecha de seguridad.
Por su parte, los expertos aconsejan a los usuarios de la app de microvídeos que cambien sus contraseñas y se aseguren de que la autenticación de doble factor está activada por precaución.
Otros problemas de seguridad
Esta no es la primera vez que se detecta una brecha de seguridad en la aplicación. En enero de 2020 la firma de ciberseguridad Check Point alertaba de "múltiples vulnerabilidades críticas" en TikTok, las cuales son muy parecidas a la actual.
De hecho, los cibermalos podían añadir y eliminar vídeos, cambiar la configuración de los vídeos de privados a públicos así como acceder y extraer datos personales como el nombre completo, dirección de email, fecha de cumpleaños, etc.
En aquel momento Bytedance aseguraba que ya habían parcheado los problemas reportados en su última versión aunque, como vemos, la vulnerabilidad es prácticamente similar a la de hace 2 años y medio atrás.
EE.UU. no se fía
Hace unas semanas el responsable de la FCC Brendan Carr instó a Apple y Google a que eliminaran TikTok de sus tiendas de aplicaciones, asegurando que la herramienta suponía un "riesgo para la seguridad nacional inaceptable" debido a sus amplios datos recopilados.
El funcionario citaba la investigación publicada por BuzzFeed en la que se mostraba como la información de los usuarios americanos de la app que supuestamente maneja Oracle y se almacena en EE.UU había sido consultada varias veces por empleados radicados en China pertenecientes a ByteDance, la empresa paraguas de TikTok.