¡Peligro! Así es como TikTok infecta a miles de dispositivos móviles

Es normal que la popularidad de esta aplicación llame la atención de los ciberdelincuentes, pues recordemos que siguen de cerca las tendencias en Internet para robar de manera masiva los datos personales de los usuarios. Ahora, están apuntando a un púbico más joven e intentan infectar miles de dispositivos móviles a través de un famoso reto que se ha vuelto viral en la plataforma de videos cortos. Estos piratas informáticos idearon una ingeniosa campaña que pone en peligro la seguridad y privacidad digital de los internautas, lo peor es que muchas personas caen en la estafa y ésta se propaga rápidamente. Te explicaremos paso a paso de qué trata y por supuesto, como puedes protegerte de la amenaza.

Empezó como un reto viral y culminó en una infección masiva a dispositivos móviles

Sabemos bien que los retos digitales se han vuelto muy populares en los últimos años, esta plataforma no quedó exenta y más porque está dominada por la generación Z. Es decir, adolescentes y jóvenes nacidos a partir de 1996. Así que ahora uno de los videos virales que los mismos jóvenes popularizaron en la red social, podría ser un arma de doble filo que termine infectando sus celulares con un peligroso malware. En esta ocasión, el desafío del “cuerpo invisible” también conocido como “reto invisible”, ha despertado el interés de los ciberdelincuentes para estafar a las personas.

En esta dinámica, las personas tienen que vestir pocas prendas para poco a poco desvestirse hasta quedar completamente desnudos. No corren ningún riesgo o peligro de que los demás usuarios tomen captura para almacenar fotos puesto que un filtro en TikTok se encarga de transformar su figura en una silueta invisible. Por ende eso es lo único que podemos apreciar, una forma humanoide que baila al ritmo de las tonadas más sonadas en la web. El problema de esta tendencia no es el reto en sí, es que muchas personas por querer ver “lo que oculta el filtro” descargan un software que promete a los usuarios visualizar el contenido. Debemos aclarar que ninguna aplicación, ni el propio TikTok puede hacer eso. Por lo que, claramente es una estafa y muy peligrosa.

¿Cómo funciona el malware?

El filtro elimina el cuerpo de la persona del video dejando un contorno borroso que se homologa con el fondo que estemos utilizando, por ende, muchos internautas se sienten seguros a la hora de hacer su reto, puesto que su figura no se verá expuesta. Sin embargo, algunos usuarios, con el afán de querer ver de más, cayeron en una ingeniosa campaña de infección a dispositivos móviles. Los ciberdelincuentes aprovecharon una vez más las tendencias y tras la promesa de una herramienta capaz de eliminar este filtro para ver a las personas desnudas, están contagiando las cuentas y equipos de miles de usuarios. A través de los comentarios, invitan a los perfiles de la plataforma a un enlace que los dirige a un servidor de Discord donde se observa una página web con vídeos de personas desnudas, supuestamente resultado de utilizar el “software milagroso.”

Los interesados reciben un mensaje de una cuenta bot que les pide que abran y marquen un repositorio de Github. Recordemos que este último concepto se refiere a un espacio centralizado donde se almacena, organiza, mantiene y difunde información digital, habitualmente archivos informáticos. Este repositorio se anuncia como “una herramienta de código abierto capaz de eliminar el filtro de cuerpo invisible en TikTok” y tiene más de 100 estrellas en valoración. Creemos que los mismos ciberdelincuentes son los que modifican esta información para tratar de que los usuarios se sientan seguros a la hora de descargarlo e instalarlo, pero la realidad es que es solo una estafa más que pondrá su privacidad digital en riesgo.

Dentro de este repositorio hay un paquete malicioso de Python. Cabe destacar que este es un lenguaje de programación ampliamente utilizado en las aplicaciones web, el desarrollo de software, la ciencia de datos y el machine learning (ML). Los desarrolladores utilizan Python porque es eficiente y fácil de aprender, además de que se puede ejecutar en muchas plataformas diferentes. Este software despliega el malware llamado WASP Stealer, capaz de robar cuentas de Discord, también billeteras de criptomonedas, contraseñas y tarjetas de crédito almacenadas en los navegadores. En sí es sumamente peligroso y más cuando tenemos todos esos datos en nuestros dispositivos móviles o computadoras.

El equipo de investigaciones de Checkmarx, quienes han descubierto esta campaña de malware, afirman que actualmente muchas personas están siendo infectadas, y no obstante los atacantes no dudan incluso en sacarse cuentas alternativas, o varios servidores, para seguir ofreciendo su software malicioso y por ende, seguir robando información personal y sumamente delicada.

“Estos ataques demuestran nuevamente que los atacantes cibernéticos han comenzado a centrar su atención en el ecosistema de paquetes de código abierto; creemos que esta tendencia se acelerará en 2023”, concluyeron los investigadores.

 

TAMBIÉN TE PUEDE INTERESAR: Uso excesivo de TikTok será un problema de salud pública en México

¿Cómo me puedo proteger de esta estafa?

La navegación en redes sociales es muy sencilla de seguir, puesto que no necesitamos de terceros para poder usar nuestras plataformas favoritas. Por ello, cada que un externo intente hacerte descargar alguna aplicación fuera de las apps de Meta, o las famosas y comunes como Twitter, TikTok, entre otras, lo mejor es decir “no, gracias”. Con esto nos evitaremos la pesada tarea de cambiar nuestras contraseñas de cuentas bancarias, sitios web y demás que se puedan ver comprometidas por algún malware que infecte nuestros dispositivos móviles o computadoras. También te compartimos acciones puntuales para que puedas llevar a cabo en Internet y así evitarte car en este tipo de estafas.

1. No descargues ninguna aplicación externa o complementaria a tus redes sociales.
2. Siempre procura que la instalación de tus apps sean desde el proveedor oficial.
3. Utiliza contraseñas seguras.
4. No uses el mismo código para varias cuentas.
5. Usa la autenticación multifactor (MFA).
6. No compartas información personal.
7. Si eres una persona activa en Internet, monitorea tus cuentas.
8. Sé cauteloso con las aplicaciones y redes Wi-Fi gratuitas.
9. Infórmate constantemente de las nuevas estafas.

¿Qué opina el gobierno estadounidense sobre el uso de TikTok?

El día de hoy, Chris Wray, el director de la agencia federal de investigación e inteligencia, mejor conocida como FBI, planteó preocupaciones de seguridad nacional sobre TikTok y advirtió que el control de la popular aplicación para compartir videos está en manos de un “gobierno chino que no comparte nuestros valores”. Puntualizó que como una organización especializada en la seguridad, le angustiaba que “los chinos” tuvieran la capacidad de controlar el algoritmo de recomendación de la aplicación, “lo que les permite manipular el contenido y, si quieren, usarlo para operaciones de influencia”. También afirmó que el asiático país podría usar la aplicación para recopilar datos sobre sus usuarios que podrían usarse para operaciones de espionaje tradicionales.

“Todas estas cosas están en manos de un gobierno que no comparte nuestros valores y que tiene una misión que está muy en desacuerdo con los mejores intereses de Estados Unidos. Eso debería preocuparnos”, dijo Wray a una audiencia en la Escuela de Políticas Públicas Gerald R. Ford de la Universidad de Michigan.

Esas preocupaciones son similares a las que planteó durante las apariciones en el Congreso el mes pasado cuando surgió el tema. Y vienen durante el diálogo en curso en Washington sobre la aplicación. Recordemos que TikTok es propiedad de ByteDance, con sede en Beijing. Un portavoz de la plataforma no respondió de inmediato un correo electrónico de la agencia AP que buscaba comentarios o reacciones tras las declaraciones del director del FBI. Sin embargo debemos destacar que en una audiencia en el Senado el pasado mes de septiembre, la directora de operaciones de TikTok, Vanessa Pappas, respondió a las preguntas de miembros de ambos partidos diciendo que la empresa protege todos los datos de los usuarios estadounidenses y que los funcionarios del gobierno chino no tienen acceso a ellos.

“Nunca compartiremos datos, punto”, dijo Pappas.

De igual forma, debemos recordar que la administración de Trump en el 2020, preocupada por la influencia de China sobre TikTok, amenazó con prohibir la aplicación en EE. UU. y presionó a ByteDance para que vendiera TikTok a una empresa estadounidense. Los funcionarios estadounidenses y la compañía ahora están en conversaciones sobre un posible acuerdo que resolvería las preocupaciones de seguridad estadounidenses, un proceso que, según Wray, se estaba llevando a cabo en todas las agencias gubernamentales de EE. UU.