Denuncia de vulneración de TikTok hace evidente su atractivo para los hackers

Microsoft Corp. dijo que había encontrado una “vulnerabilidad de alta gravedad” en la aplicación Android de TikTok

El logotipo de la aplicación TikTok de ByteDance Ltd. en un teléfono inteligente en Sydney, Nueva Gales del Sur, Australia, el lunes 14 de septiembre de 2020.
Por Jamie Tarabay
05 de septiembre, 2022 | 03:25 PM

Bloomberg — La sensación de los vídeos cortos de TikTok, que se encuentra entre las aplicaciones más descargadas del mundo, está siendo objeto de un mayor escrutinio sobre la seguridad de sus datos, ya que guarda la información personal de más de 1.000 millones de usuarios.

Varios analistas de ciberseguridad tuitearon el lunes sobre el descubrimiento de lo que supuestamente fue una brecha en un servidor inseguro que permitió el acceso al almacenamiento de TikTok, que creen que contenía datos personales de los usuarios. Escasos días antes, Microsoft Corp. (MSFT) dijo que había encontrado una “vulnerabilidad de alta gravedad” en la aplicación Android de TikTok, “que habría permitido a los atacantes comprometer las cuentas de los usuarios con un solo clic.”

VER +
Uso de TikTok por militares de EE.UU. plantea riesgo de seguridad, según regulador

La aplicación, propiedad de ByteDance Ltd., superó los 1.000 millones de usuarios mensuales hace un año y ahora es la aplicación favorita de muchos jóvenes. Eso la convierte en un objetivo atractivo para los hackers, que pueden intentar secuestrar las cuentas más populares o revender información sensible. La administración Trump la identificó como una amenaza para la privacidad en 2020 y estuvo a punto de prohibirla debido a la preocupación por los posibles vínculos entre su empresa matriz con sede en Pekín y el gobierno chino.

PUBLICIDAD

TikTok dijo que las afirmaciones de una brecha descubierta durante el fin de semana eran incorrectas. “Nuestro equipo de seguridad investigó esta afirmación y determinó que el código en cuestión no tiene ninguna relación con el código fuente del backend de TikTok”, dijo un portavoz.

Troy Hunt, un consultor de seguridad web australiano, revisó algunas de las muestras de datos que aparecían en los archivos filtrados y encontró coincidencias entre los perfiles de los usuarios y los vídeos publicados bajo esas identificaciones. Pero algunos detalles incluidos en la filtración eran “datos de acceso público que podrían haber sido construidos sin necesidad de una brecha”.

VER +
Renuncia silenciosa: pros y contras de la nueva tendencia de TikTok

“De momento, esto no es muy concluyente; algunos datos coinciden con la información de producción, aunque sea información de acceso público. Algunos datos son basura, pero podrían ser datos de no producción o de prueba”, publicó en Twitter. “Hasta ahora es una mezcla de datos”.

PUBLICIDAD

La vulnerabilidad identificada por Microsoft es un problema más estrecho que podría haber afectado a los teléfonos celulares con Android. Podría haber permitido a los atacantes acceder y modificar “los perfiles de TikTok y la información sensible, como por ejemplo publicando vídeos privados, enviando mensajes y subiendo vídeos en nombre de los usuarios”, escribió Dimitrios Valsamaras, del equipo de investigación de Microsoft 365 Defender.

Un portavoz de TikTok dijo que la empresa había respondido rápidamente a los hallazgos de Microsoft y había corregido el fallo de seguridad, que se encontró “en algunas versiones antiguas de la aplicación para Android.”

Por muy poco concluyentes o pequeños que sean los problemas, TikTok y su empresa matriz estarán en el punto de mira en un momento en el que Estados Unidos podría intensificar sus medidas contra las empresas vinculadas a China. En junio, nueve senadores estadounidenses escribieron una carta pública al CEO de TikTok pidiéndole explicaciones sobre los supuestos fallos de seguridad.

Se espera que el presidente Joe Biden firme una orden ejecutiva que restrinja las inversiones de EE.UU. en empresas tecnológicas chinas, y es posible que se tomen medidas por separado contra TikTok, ya que la administración presta mucha atención a si el gobierno chino tiene acceso a los datos de los clientes estadounidenses. La empresa ha dicho a los legisladores estadounidenses que ha tomado medidas para proteger esos datos mediante un contrato con Oracle Corp (ORCL).

“Hay mucha atención en la forma en que opera TikTok y hay una gran brecha entre cómo opera y cómo dice que opera”, dijo Robert Potter, co-CEO de la firma australiana-estadounidense de ciberseguridad Internet 2.0 Inc.

En julio, el equipo de Potter afirmó en un informe que había descubierto una “recolección excesiva de datos” llevada a cabo por TikTok en los dispositivos de los usuarios, que la aplicación comprueba la ubicación del dispositivo al menos una vez por hora y que tiene un código que recoge los números de serie tanto del dispositivo como de la tarjeta SIM.

El informe recibió una amplia atención en Australia, y Clare O’Neil, la nueva ministra de Interior, anunció el lunes que ha ordenado a su departamento que investigue qué datos adquiere TikTok y quién puede acceder a ellos.

“Tenemos este problema básico en el que tenemos empresas tecnológicas que se basan en países con un enfoque más autoritario del sector privado”, dijo O’Neil en declaraciones por correo electrónico. “TikTok no es el principio ni el final de esto. Es uno de los numerosísimos problemas que han suscitado estas empresas tecnológicas tan dominantes y el papel que están desempeñando en nuestras vidas.”

PUBLICIDAD

Con la ayuda de Zheping Huang.

Lea más en Bloomberg.com