Lee también: Virus de la temporada fría en Guatemala enferma a más de 234 mil personas
En Guatemala, los usuarios de la popular plataforma de videos cortos TikTok están siendo víctimas de una nueva y sofisticada modalidad de fraude que se propaga a través de mensajes directos. Esta táctica se aprovecha de la confianza y el deseo de ayudar a un conocido para sustraer el acceso a las cuentas.
El mecanismo de la estafa comienza cuando un usuario recibe un mensaje, aparentemente de un contacto conocido, cuya cuenta ha sido previamente comprometida por los ciberdelincuentes. En este mensaje, el atacante, haciéndose pasar por el dueño legítimo del perfil, solicita con urgencia la colaboración de la víctima. El argumento es que TikTok le está pidiendo el número de teléfono de alguno de sus contactos para poder restablecer el acceso a su cuenta, que supuestamente ha sido bloqueada o hackeada.
Al recibir la información de contacto solicitada, los criminales la utilizan para intentar un proceso de recuperación de cuenta o registro en TikTok, probablemente activando el envío de un código de verificación al número del contacto recién obtenido. Engañosamente, el atacante regresa al chat y solicita a la víctima que le proporcione el código que ha recibido por mensaje de texto (SMS), argumentando que este es el “número de colaboración” que TikTok requiere para finalizar la supuesta recuperación de la cuenta.
Una vez que la víctima, actuando de buena fe, entrega el código de verificación, los delincuentes obtienen el acceso total a su perfil. En cuestión de minutos, el usuario legítimo pierde la capacidad de ingresar a su cuenta de TikTok, convirtiéndose en una nueva víctima cuyo perfil será utilizado para continuar el ciclo de estafa con sus propios contactos.
Esta técnica es una variación de la ingeniería social y el phishing, donde la manipulación psicológica sustituye a los enlaces maliciosos. Para prevenir este tipo de robos, los expertos en ciberseguridad y la propia plataforma TikTok reiteran la importancia de no compartir nunca códigos de verificación ni contraseñas con nadie, incluso si la solicitud proviene de una cuenta de un amigo o familiar. Se recomienda además activar la verificación en dos pasos (2FA) en todas las plataformas digitales como una capa de seguridad adicional.