Underc0de - La Casa de los Informáticos

Una nueva y sofisticada campaña de phishing dirigida a cuentas empresariales de TikTok está generando preocupación en la comunidad de ciberseguridad. Investigadores han identificado una operación activa que no solo roba credenciales, sino que también emplea técnicas avanzadas para evadir los sistemas automatizados de detección, lo que incrementa significativamente su tasa de éxito.

Según un informe de la firma de seguridad Push Security, los atacantes están aprovechando la legitimidad y el alcance de TikTok Business para ejecutar campañas de fraude publicitario, distribución de malware y estafas a gran escala.

¿Por qué TikTok Business es un objetivo atractivo?

Las cuentas de TikTok para empresas representan un activo de alto valor para los ciberdelincuentes debido a varios factores clave:

• Amplio alcance de audiencia
• Alta confianza por parte de los usuarios
• Capacidad de ejecutar campañas publicitarias
• Integración con plataformas de terceros

Estas características convierten a TikTok Business en una herramienta ideal para actividades maliciosas como la malversificación (malvertising), la promoción de estafas de criptomonedas y la distribución de malware tipo infostealer.

De hecho, TikTok ya ha sido utilizado anteriormente para difundir software malicioso a través de videos manipulados, así como para engañar a usuarios con ofertas fraudulentas.

Relación con campañas anteriores

Push Security ha vinculado esta campaña con otra operación detectada en 2025 que apuntaba a cuentas de Google Ad Manager. Este patrón sugiere una estrategia clara por parte de los actores de amenaza: comprometer plataformas publicitarias y redes sociales para amplificar el impacto de sus ataques.

Además, investigaciones previas de Sublime Security indican que los atacantes reutilizan técnicas similares, lo que demuestra una evolución continua en sus métodos.

Infraestructura maliciosa y evasión de detección

Uno de los aspectos más sofisticados de esta campaña es su capacidad para evadir sistemas de seguridad automatizados. Los atacantes utilizan:

• Cloudflare para alojar páginas y aplicar protección anti-bots
• Google Cloud Storage para redireccionamientos iniciales
• NiceNIC como registrador de dominios sospechosos

El flujo del ataque comienza con un enlace aparentemente legítimo que redirige a través de Google Storage. Posteriormente, se activa una verificación tipo "torniquete" de Cloudflare que bloquea bots de seguridad, permitiendo únicamente el acceso a usuarios reales.

Esta técnica dificulta enormemente el análisis automatizado, lo que permite que las páginas de phishing permanezcan activas durante más tiempo.

Dominios maliciosos y técnicas de suplantación

Los atacantes utilizan múltiples dominios con nombres similares, diseñados para parecer legítimos. Estos dominios están alojados en el mismo bucket de almacenamiento, lo que indica una infraestructura centralizada.

Las páginas de destino se hacen pasar por:

• Interfaces de TikTok Business
• Formularios de "Programar una llamada" de Google Careers

En esta primera etapa, se solicita a la víctima que introduzca información básica, supuestamente para validar su correo corporativo.

Robo de credenciales mediante proxy inverso

Una vez que el usuario completa el formulario inicial, es redirigido a una página de inicio de sesión falsa. Esta página no es un simple clon, sino un proxy inverso altamente sofisticado que actúa como intermediario entre el usuario y el servicio legítimo.

Esto permite a los atacantes:

• Capturar credenciales en tiempo real
• Interceptar cookies de sesión
• Evadir protecciones como la autenticación de dos factores (2FA)

El uso de proxies inversos representa una de las técnicas más avanzadas en phishing moderno, ya que permite el secuestramiento de sesiones activas, incluso cuando las cuentas están protegidas con múltiples capas de seguridad.

Riesgo adicional: integración con Google SSO

Un factor crítico que amplifica el impacto de este ataque es el uso de inicio de sesión único (SSO) mediante Google.

Muchos usuarios empresariales acceden a sus cuentas de TikTok utilizando sus credenciales de Google. Esto significa que, si un atacante compromete una cuenta mediante este método, puede obtener acceso simultáneo a:

• Cuenta de TikTok Business
• Cuenta de Google asociada
• Servicios vinculados al ecosistema empresarial

Este efecto dominó convierte el ataque en una amenaza de alto impacto para organizaciones.

Impacto en ciberseguridad empresarial

La campaña demuestra una tendencia preocupante en el panorama de amenazas:

• Uso de infraestructura legítima para ocultar ataques
• Evolución hacia técnicas de evasión más avanzadas
• Enfoque en cuentas empresariales de alto valor
• Capacidad de comprometer múltiples servicios con un solo ataque

Esto refuerza la necesidad de adoptar estrategias de seguridad más robustas centradas en la identidad digital.

Recomendaciones para mitigar el phishing en TikTok Business

Para protegerse contra este tipo de amenazas, se recomienda:

• Verificar siempre el dominio antes de introducir credenciales
• Evitar hacer clic en enlaces de fuentes desconocidas
• Implementar autenticación basada en claves de acceso (passkeys)
• Monitorizar sesiones activas y accesos sospechosos
• Capacitar a los empleados sobre técnicas de phishing avanzado

Además, las organizaciones deben considerar el uso de soluciones de seguridad en el navegador que puedan detectar y bloquear este tipo de ataques en tiempo real.

En fin...

La campaña de phishing dirigida a cuentas de TikTok Business representa una evolución significativa en las tácticas de ciberataque. Al combinar técnicas de evasión avanzadas, infraestructura legítima y métodos sofisticados de robo de credenciales, los atacantes están logrando comprometer cuentas empresariales con mayor eficacia.

A medida que plataformas como TikTok continúan creciendo en relevancia comercial, es probable que se conviertan en objetivos aún más frecuentes para los ciberdelincuentes.

La clave para mitigar estos riesgos radica en la combinación de tecnología, concienciación y buenas prácticas de seguridad.

Fuente: https://www.bleepingcomputer.com/