(https://i.postimg.cc/Wb8RH8FT/TikTok.png) (https://postimages.org/)
Un actor de amenazas emergente, conocido bajo el alias "Often9", ha publicado en un importante foro de ciberdelincuencia y comercio de bases de datos que afirma poseer 428 millones de registros de usuarios únicos de TikTok. La publicación se titula "Violación de TikTok 2025: 428 millones de líneas únicas".
La publicación del vendedor, publicada en el foro (29 de mayo de 2025), promete un conjunto de datos con información detallada del usuario, como:
Direcciones de correo electrónico
Números de teléfono móvil
Biografía, URL de avatar y enlaces de perfil
ID de usuario, nombre de usuario y apodos de TikTok
Indicadores de cuenta como cuenta privada, secreta, verificada y estado de ttSeller
Métricas visibles públicamente, como el número de seguidores, seguidos, me gusta, vídeos, Digg y amigos.
(https://hackread.com/wp-content/uploads/2025/05/threat-actor-tiktok-breach-428-million-records-sale-1-1066x1536.png)
La inclusión de campos no públicos, como direcciones de correo electrónico, números de teléfono móvil e indicadores internos de cuentas, no es algo que se pueda extraer fácilmente del sitio web público o la aplicación móvil de TikTok. Si TikTok verifica que estos datos son precisos y recientes, esto sugiere acceso a los sistemas internos de TikTok o a una base de datos de terceros expuesta.
El autor de la amenaza explica cómo ocurrió la presunta filtración de TikTok
Alguien en el foro le preguntó al hacker cómo se extrajeron los datos, si se trataba simplemente de un scraping o de algo más. En respuesta, el hacker explicó cómo supuestamente lograron extraer los datos.
"Normalmente, TikTok no proporciona ninguna API pública para acceder a datos privados como correos electrónicos o números de teléfono. Pero hace un tiempo, debido a una vulnerabilidad en una de sus API internas, fue posible extraer estos datos. Descubrimos y abusamos de esa API antes de que se parcheara, lo que nos permitió recopilar este conjunto de datos. Así que, técnicamente, sí, parece scraping, pero se realizó a través de un endpoint explotable, no un simple rastreo público. En resumen: scraping mediante API, pero al aprovechar una vulnerabilidad para acceder a datos que no debían ser públicos, se trata de una filtración."
Sometimes9
¿Qué significa la respuesta de Sometimes9? La amenaza indica que, en circunstancias normales, TikTok no proporciona ninguna herramienta pública (API) que permita acceder a información privada como correos electrónicos o números de teléfono. Pero en algún momento, encontraron una vulnerabilidad en una de las API internas de TikTok.
Esta vulnerabilidad les permitió extraer datos privados de usuarios que no debían ser accesibles. Usaron (y abusaron) de esta vulnerabilidad antes de que TikTok la corrigiera, lo que les permitió recopilar un gran conjunto de datos.
Si bien este proceso podría parecer un "scraping" (que generalmente implica recopilar datos públicos mediante herramientas automatizadas), en este caso fue más grave porque implicó explotar un sistema interno que expuso información no pública.
Para mayor peso de la acusación, el actor de amenazas está dispuesto a trabajar a través de un intermediario, un enfoque común en foros criminales cuando las ventas de datos a gran escala requieren la verificación de terceros para generar confianza en el comprador.
Pero he aquí por qué el escepticismo está justificado
A pesar del atractivo discurso de venta del actor de amenazas, varias señales de alerta ponen en duda la validez de la afirmación. Cabe destacar que un número significativo de entradas de muestra muestran campos vacíos o genéricos para correos electrónicos y números de teléfono, lo que plantea la posibilidad de que este conjunto de datos se haya recopilado a partir de perfiles públicos extraídos y organizado utilizando datos antiguos de filtraciones o conjeturas.
El actor de amenazas es una cuenta nueva en el foro, que se unió hace solo unos días y no tiene reputación, ni positiva ni negativa. En el mundo de la ciberdelincuencia, la reputación es un valor incalculable; los principales vendedores de filtraciones suelen tener años de historial verificado o ventas exitosas.
El propio foro tiene un historial reciente de afirmaciones infladas o falsas sobre filtraciones. Cabe destacar que la misma plataforma se utilizó la semana pasada para promocionar la supuesta venta de datos de "1.200 millones de usuarios de Facebook", que posteriormente se reveló como falsa en una investigación exclusiva de Hackread.com, lo que llevó al baneo del vendedor.
Un análisis más detallado de los datos de muestra revela que muchos campos, como los ID de usuario, los nombres de usuario, los enlaces de perfil y las métricas de seguidores, son de acceso público y podrían obtenerse mediante operaciones de scraping a gran escala. Si bien el scraping a gran escala puede presentar riesgos (como campañas de phishing o spam), no equivale a una vulneración de los sistemas internos.
Comparación de direcciones de correo electrónico con HaveIBeenPwned
Hackread.com también comparó las direcciones de correo electrónico de los datos de muestra con los registros de HaveIBeenPwned, y la mayoría se encontraron en menos de dos filtraciones de datos previas. Esto es alarmante y refuerza la singularidad de los datos. Sin embargo, una muestra de 1200 líneas de una supuesta filtración de 428 millones de registros no es suficiente para establecer su legitimidad.
Por ahora, esta afirmación debe tomarse con cautela. Por muy tentadoras que sean las cifras de ventas, los vendedores sin reputación en foros de ciberdelincuencia suelen exagerar o inventar para obtener ganancias rápidas o llamar la atención.
No es la primera vez
Esta no es la primera vez que un actor de amenazas afirma haber violado los datos de TikTok. En septiembre de 2022, un hacker afirmó haber adquirido 2 mil millones de registros de TikTok, incluyendo estadísticas internas, código fuente, 790 GB de datos de usuarios y más, una afirmación que posteriormente fue desmentida por la compañía.
Hackread.com se ha puesto en contacto con TikTok y confirma que el gigante de las redes sociales está investigando la presunta violación.
Fuente:
HackRead
https://hackread.com/threat-actor-tiktok-breach-428-million-records-sale/