La ofensiva utiliza técnicas de adversary-in-the-middle para interceptar sesiones en tiempo real, evadir la autenticación multifactor y tomar control de cuentas corporativas, con el objetivo de ejecutar fraudes publicitarios, desviar presupuestos y amplificar campañas maliciosas en una de las plataformas digitales con mayor crecimiento.
Una campaña de phishing altamente sofisticada está apuntando a cuentas de TikTok utilizadas con fines empresariales, en un ataque que va más allá del robo tradicional de credenciales y que permite a los atacantes secuestrar sesiones activas para tomar control total de los perfiles.
En un reporte publicado recientemente, investigadores de la firma Push Security han identificado el uso de técnicas conocidas como adversary-in-the-middle (AiTM), un método en el que los atacantes se posicionan entre el usuario y el servicio legítimo para interceptar información en tiempo real. A diferencia del phishing convencional, este enfoque no solo captura credenciales, sino también cookies de sesión, lo que permite el acceso directo a cuentas ya autenticadas.
Este detalle es clave, dado que incluso sistemas protegidos con autenticación multifactor (MFA) pueden ser vulnerados. “Los atacantes pueden interceptar la sesión autenticada, anulando la protección adicional que ofrece el segundo factor”, advierten los analistas.
El flujo del ataque también refleja un alto nivel de sofisticación. Las víctimas son dirigidas inicialmente a enlaces que aparentan ser legítimos -como servicios en la nube- antes de ser redirigidas a páginas falsas que replican entornos de TikTok for Business o plataformas asociadas. En estos sitios, los atacantes integran mecanismos como CAPTCHA para evadir herramientas de detección automatizada y dificultar el análisis de seguridad.
Además, la campaña incorpora elementos de ingeniería social, presentándose en algunos casos como oportunidades laborales o contactos profesionales, lo que aumenta la probabilidad de interacción por parte de las víctimas.
Uno de los factores que amplifica el impacto es el uso de inicio de sesión mediante cuentas externas, como Google. En estos casos, comprometer una cuenta puede abrir la puerta a múltiples servicios vinculados. “Los usuarios que utilizan autenticación con terceros podrían ver comprometido un ecosistema más amplio de aplicaciones”, señalan los investigadores.
Sin embargo, el objetivo final del ataque no es simplemente el acceso a cuentas, sino su explotación económica. Las cuentas empresariales de TikTok representan activos de alto valor, ya que permiten gestionar campañas publicitarias con presupuestos asociados. Esto las convierte en herramientas ideales para ejecutar fraudes, desviar inversión en anuncios o incluso distribuir contenido malicioso a gran escala.
“Los atacantes pueden utilizar estas cuentas para lanzar campañas publicitarias fraudulentas o redirigir fondos hacia sus propios fines”, advierten los reportes. Este modelo replica tácticas observadas previamente en plataformas como Google Ads.
Otro aspecto relevante es la capacidad de evasión del ataque. La combinación de redirecciones, validaciones humanas y dominios efímeros permite a los atacantes operar durante más tiempo sin ser detectados, lo que aumenta su efectividad y escala.
De acuerdo a lo reportado por varios medios especializados, la campaña sigue activa.