Hace poco se ha detectado una campaña de phishing que pone en el punto de mira a las cuentas de TikTok for Business, y no es un ataque cualquiera: los responsables han diseñado la estafa para que las herramientas automatizadas de seguridad no puedan analizar las páginas maliciosas y, de ese modo, pasar desapercibidos más tiempo.
Según el equipo que descubrió la operación, los engaños empiezan con enlaces que redirigen a recursos legítimos —en este caso, a almacenamiento en la nube de Google— y desde ahí encadenan a páginas hospedadas por el propio atacante. Ese primer paso es importante porque ofrece una sensación de confianza inicial al usuario y oculta la traza directa hacia el servidor malicioso. Las páginas falsas reproducen formularios oficiales —como los que piden programar llamadas comerciales— y solicitan datos básicos para “verificar” que el visitante usa una cuenta de empresa.
La trampa se vuelve más peligrosa en el siguiente paso: tras esa verificación inicial, la víctima es presentada con una pantalla que parece el formulario de inicio de sesión real. Esa pantalla en realidad actúa como un proxy inverso: intermedia en tiempo real entre el usuario y el servicio legítimo, captura credenciales y cookies de sesión, y las envía al atacante. El resultado es que incluso los accesos protegidos por autenticación de dos factores pueden ser secuestrados, porque el atacante puede completar la sesión aprovechando la conexión interpuesta.
Los investigadores que han analizado la campaña han identificado un patrón familiar: los dominios utilizados siguen variaciones con nombres similares y comparten el mismo contenedor de almacenamiento en la nube. Además, los registros de dominio se hicieron a través de un registrador que en otros incidentes ha aparecido en actividades delictivas. Para ampliar el análisis técnico y los hallazgos verificados, puede consultarse el informe técnico publicado por los descubridores de la campaña en el blog de Push Security, que conecta esta operación con tácticas observadas en campañas previas.
Otra pieza clave del modus operandi es el uso de comprobaciones anti-bot integradas en la cadena de redirecciones. Tecnologías como Cloudflare Turnstile permiten distinguir entre navegadores humanos y herramientas de escaneo automáticas; los atacantes las están empleando para impedir que las defensas automáticas y los investigadores accedan a las páginas maliciosas, lo que complica la detección temprana.
Hay además una unión peligrosa entre servicios: muchas cuentas de TikTok for Business permiten iniciar sesión mediante el inicio de sesión único de Google (SSO). Si un usuario administra su cuenta de TikTok con las credenciales de Google, comprometer el acceso de Google puede permitir al atacante controlar simultáneamente la cuenta de anuncios y la de contenido de TikTok. Este vector amplifica el daño, porque las cuentas de empresa son especialmente valiosas para campañas de malvertising, fraude publicitario y la difusión de estafas con apariencia legítima.
El patrón observado en esta campaña recuerda a otras suplantaciones que han usado páginas que imitan procesos de programación de llamadas o reclutamiento para engañar a la gente. Un análisis detallado sobre un caso parecido que abusaba de páginas de ofertas de empleo y de la cadena de redirección se puede leer en el informe publicado por Sublime Security, que muestra cómo las variantes pueden multiplicarse y ajustarse constantemente para eludir detecciones.
Para los administradores y responsables de cuentas de publicidad y redes sociales, esto plantea varias señales de alarma. Las cuentas de empresa tienen más alcance y credibilidad pública, por lo que son un objetivo natural para quienes buscan distribuir contenido malicioso o manipular campañas publicitarias. Los atacantes no buscan solo robar contraseñas: buscan tomar control de canales que después pueden emplear en esquemas de fraude a gran escala.
En cuanto a recomendaciones prácticas, conviene tomar medidas sencillas pero contundentes: mantener una actitud escéptica frente a enlaces inesperados, comprobar cuidadosamente el dominio antes de introducir cualquier credencial y desconfiar de comunicaciones que soliciten verificar cuentas o programar llamadas a través de formularios no verificados. Además, las organizaciones deberían priorizar métodos de autenticación resistentes al phishing, como las credenciales basadas en paskeys y claves FIDO/WebAuthn, que reducen drásticamente la eficacia de los proxies reversos. Google y otras plataformas ya ofrecen guías para adoptar paskeys y otros mecanismos de autenticación modernos; la documentación de Google sobre passkeys puede ser un buen punto de partida: cómo usar passkeys.
También es recomendable segmentar roles y permisos en las cuentas publicitarias para minimizar el impacto si una credencial se ve comprometida, vigilar con herramientas de detección de sesión anómala y educar a los equipos sobre las trampas más habituales en ofertas de empleo y “invitaciones comerciales”. Para recursos generales sobre cómo evitar el phishing y qué pasos seguir tras detectar un intento, las guías de organismos oficiales ofrecen consejos útiles y actualizados, por ejemplo las publicaciones de la CISA.
En resumen, estamos ante una campaña que combina ingeniería social con técnicas técnicas para bloquear la inspección automatizada y robar sesiones en tiempo real. La recomendación más sólida es combinar precaución humana con autenticación moderna y políticas de seguridad en las plataformas de anuncios, porque eso reduce notablemente la superficie de ataque y dificulta la explotación de cuentas con alto valor para los delincuentes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...