TikTok niega la existencia de una brecha de seguridad por la que un hacker habría accedido a los registros de las cuentas de miles de millones de sus usuarios y al código fuente interno de la plataforma.

El 3 de septiembre, el usuario AgainstTheWest del foro de ‘hackers’ Breach Forums afirmó tener en su poder datos obtenidos de TikTok y WeChat, la ‘app’ desarrollada por Tencent, a raíz de una brecha de seguridad.

Como pruebas, acompañó su publicación de unas capturas de pantalla y un vídeo que alertaban sobre la presunta filtración de datos de ambas plataformas. En el caso de TikTok, el usuario afirmó tener más de 2.000 millones de registros de usuarios, incluida información de pago, que alcanzaban los 790GB, aunque posteriormente indicó que el archivo ocupaba en total 6,7TB-.

Posteriormente, el usuario BlueHornet|AgainstTheWest afirmó en Twitter que tenía el código fuente de TikTok, mofándose de que la plataforma lo había alojado en el servicio en la nube Alibaba Cloud y protegido con una «contraseña inútil», según Forbes.

El consultor de seguridad Troy Hunt se hizo eco de estas alegaciones y analizó una muestra de 237MB que el presunto atacante publicó para comprobar su veracidad, como detalló a través de su cuenta personal de Twitter.

Por un lado, halló material que sí era legítimo y coincidía con los registros de TikTok, como vídeos publicados por usuarios en la plataforma. Sin embargo, se trataban de datos «públicamente accesibles» que no tienen por qué indicar la existencia de una brecha de seguridad.

Por otro, calificó los datos referentes a la información de pago de los usuarios «un poco inconclusos» e incluso directamente «falsos» en algunos casos. En definitiva, su análisis arrojó un resultado «inconcluyente» sobre la veracidad de la filtración.

Por su parte, la plataforma propiedad de ByteDance ha desmentido ser víctima de un ciberataque. El equipo de seguridad de TikTok asegura que el código presuntamente robado «no está relacionado» con el de la red social.

Un usuario del foro de ‘hackers’ volvió a subir la publicación de los presuntos datos robados tras ser eliminada por considerar que su autor había mentido.

Además, Twitter procedió a suspender la cuenta de AgainstTheWest tras sus alegaciones, que sigue sin estar accesible.

La presunta brecha de seguridad de TikTok sigue a la reciente publicación de una vulnerabilidad en la versión de su aplicación para Android que Microsoft detectó en febrero, y que la propia plataforma corrigió poco después con un parche de seguridad.

El error habría permitido secuestrar las cuentas de los usuarios de TikTok con un solo clic. Sin embargo, la plataforma aseguró no tener registros de que se hubiera aprovechado esta brecha desde que fue consciente de su existencia.

Recomendaciones de Kaspersky

David Emm, analista principal de seguridad del Equipo de Análisis e Investigación Global de Kaspersky, avisa que, si las acusaciones en Breach Forums son ciertas, puede ser un problema grave para muchos usuarios. «Si los supuestos registros de la base de datos son credenciales de inicio de sesión del usuario, las consecuencias pueden variar desde una mayor actividad por parte de los atacantes que les envían spam o mensajes de phishing, lo que ya conlleva el riesgo de perder datos bancarios e información personal, hasta incluso hackear una cuenta en TikTok. Dado que muchas celebrities y blogueros usan TikTok como su principal fuente de comunicación con su audiencia, los ciberdelincuentes podrían comprometerlos publicando videos privados, enviando mensajes y subiendo videos en su nombre. El alcance de las consecuencias depende de cómo la empresa maneje las contraseñas: si se codifican y dividen, es mucho menos probable», advierte.

Kaspersky recomienda a los usuarios de TikTok que estén preocupados por si las credenciales de su cuenta se han visto comprometidas, que cambien su contraseña. E implementar la autenticación de dos factores, que «es una excelente política para cualquier cuenta online”, comenta David Emm.