TikTok: hackers intercambian videos de la red social por otros con información falsa sobre el coronavirus

TikTok: hackers intercambian videos de la red social por otros con información falsa sobre el coronavirus

El ataque se realizó con la intención de demostrar una gran vulnerabilidad de seguridad en TikTok.

El aumento de videos falsos sobre el coronavirus ha traído problemas a las plataformas donde estos se alojan. Los portales han tenido que tomar medidas de censura para videos que difunden información falsa sobre el COVID-19. O investigaciones sobre el virus sin bases científicas. Las fake news durante esta pandemia abundan. Incluso YouTube tuvo que tomar medidas estrictas para banear contenido en su plataforma.

Recientemente, la tendencia llegó a TikTok. Una vulnerabilidad en la popular red social permitió que se difundieran videos sobre el coronavirus con información errónea. El dúo de desarrolladores Mysk dejó en evidencia los peligros en la plataforma mediante un simple hack.

Android Authority informó sobre el modos operandi. Consiste en engañar a la plataforma para que se conecte a su servidor falso. TikTok usa HTTP en lugar de HTTPS para extraer contenido multimedia de las redes de entrega de contenido (CDN) de la compañía. Aunque el uso de HTTP mejora el rendimiento de las transferencias de datos, no utiliza cifrado, lo que pone a los usuarios en riesgo. Es así como Mysk se aprovechó de esto para intercambiar videos publicados por los usuarios de TikTok (incluso con cuentas verificadas) por otros con mensajes falsos sobre el coronavirus. Todo a travñes de un ataque DNS en una red local.

En el siguiente video publicado en YouTube se pueden ver una grabación de pantalla demostrando cómo funcionó el ataque cibernético. Al principio incluye un disclaimer aclarando que los mensajes sobre el coronavirus son absolutamente falsos.

Las cuentas vulneradas incluyeron a la World Health Organization y a la Cruz Roja norteamericana y británica. Incluso a la cuenta oficial de TikTok.

Alerta sobre seguridad

La intención de Mysk no fue generar caos. Al contrario. Este ataque tenía como intención demostrar la vulnerabilidad de TikTok, con el objetivo de que fuera resuelto.

Los mensajes falsos no fueron vistos por la mayoría de los usuarios. Solo fue visible para aquellos directamente conectados al servidor de los desarrolladores.

La conclusión de Mysk es la necesidad imperativa de cambiar el cifrado de la red social. La idea principal es que TikTok cambie lo antes posible a HTTPS, a riesgo de sufrir ataques serios, por parte de personas con malas intenciones.

Puedes leer todos los detalles sobre el proceso del ataque cibernético en el sitio web de Mysk.