Alerta en TikTok: mirá cómo usan la app para estafar y robar claves con un click
Lo novedoso de esta táctica es que, en lugar de redirigir a un sitio web malicioso, el enlace lleva a un perfil de TikTok.
Los ciberdelincuentes encontraron en TikTok un terreno fértil para cometer estafas digitales. Con más de 1200 millones de usuarios activos, la plataforma es aprovechada para engañar y robar información sensible con un solo click.
Desde mensajes privados de suplantación de identidad hasta ofertas de trabajo fraudulentas, los métodos son variados y cada vez más sofisticados. Sin embargo, hace poco empezó a circular una nueva modalidad que se aprovecha de los enlaces externos que los usuarios pueden incluir sus perfiles.
En un reciente informe, la empresa de ciberseguridad Cofense informó sobre diferentes grupos de ciberdelincuentes utilizaron esta técnica para engañar a víctimas y obtener acceso a sus datos.
Cómo funciona este nuevo ataque
El ataque empieza con un correo electrónico de phishing que amenaza a quienes lo reciben con la eliminación inminente de sus correos electrónicos, a menos que hagan click en un botón incluido en el mensaje. Lo novedoso de esta táctica es que, en lugar de redirigir a un sitio web malicioso, el enlace lleva a un perfil de TikTok.
Los ciberdelincuentes usan la función de la plataforma que permite incluir enlaces externos en la biografía de los perfiles. Ese link redirige a un sitio web controlado por los hackers. Esta técnica no solo oculta la verdadera intención del enlace, sino que también explota la confianza que muchos usuarios tienen en plataformas reconocidas.
Si la víctima cae en la trampa y sigue el enlace, será enviada a través de una serie de redirecciones que finalmente la llevarán a una página de inicio de sesión falsa de Microsoft 365. Esta web está diseñada para parecerse a la oficial, e incluye el logotipo de Microsoft y otras características visuales que le otorgan una aparente legitimidad.
Además, el sitio malicioso incluso completa automáticamente la dirección de correo electrónico del usuario, lo que añade un nivel extra de credibilidad. Sin embargo, cualquier información ingresada en esta página falsa, incluidas las contraseñas, será directamente enviada a los piratas informáticos.
Así, podrán pueden acceder a la cuenta de Office de la víctima, lo que pone en riesgo no solo su información personal, sino también datos sensibles relacionados con su trabajo o actividades diarias.
Cómo detectar esta campaña de phishing en TikTok
TikTok no tiene nada que ver con este tipo de estafa. Los delincuentes se aprovechan de una función de la plataforma, por lo que la app sigue siendo segura.
Para detectar este engaño hay que verificar el correo electrónico recibido. Generalmente, proviene de un dominio desconocido, y a menudo está lleno de errores gramaticales y ortográficos. Esto ya debería despertar sospechas. Además, la URL del sitio web de destino no se parece a un dominio legítimo de Microsoft.
Si no estás seguro, evitá hacer click en los enlaces sospechosos y desestimá los mensajes que intentan asustarte con amenazas, como la eliminación de correos.