Semanas antes de que el autoritario presidente de Turquía, Recep Tayyip Erdoğan, lograra una ajustada reelección en mayo, el jefe de seguridad en funciones de TikTok, Kim Albarella, recibió una mala noticia: Hasta 700.000 cuentas de TikTok en Turquía habían sido comprometidas por un hackeo que permitió a los atacantes acceder a la información privada de los usuarios y controlar sus cuentas.
Correos electrónicos internos, registros de chat, documentos y otras fuentes de dentro y fuera de TikTok revelan que la empresa tuvo conocimiento de la vulnerabilidad, derivada de su llamado "greyrouting" de mensajes SMS a través de canales inseguros, más de un año antes:
En abril de 2022, el jefe de seguridad de TikTok, Roland Cloutier, recibió un correo electrónico del Centro Nacional de Seguridad Cibernética del Reino Unido, una división de la principal agencia de inteligencia del país, GCHQ, advirtiéndole de que esta práctica podría permitir a las "granjas de SIM" de Rusia y otros países solicitar e interceptar contraseñas de un solo uso para acceder a las cuentas de los usuarios de TikTok.
En términos sencillos, greyrouting significa enviar mensajes de texto SMS a través de canales no seguros con el fin de eludir las tarifas establecidas por los acuerdos internacionales de telecomunicaciones. El uso de greyroutes puede ahorrar dinero a las empresas y ayudarles a evitar barreras como los límites de tarifas y la detección antispam, pero hacerlo puede comprometer la seguridad de los mensajes, haciéndolos vulnerables a la interceptación.
El equipo de Cloutier investigó internamente el aviso de GCHQ y se enteró de que ByteDance utilizaba efectivamente el greyrouting para mantener bajos los costos. La empresa se planteó entonces cambiar de proveedor de mensajes SMS, pero decidió no hacerlo, al parecer porque el arreglo le habría costado millones de dólares al mes.
Alex Stamos, director del Observatorio de Internet de Stanford y antiguo jefe de seguridad de Facebook, advirtió de que, sin más información, es difícil saber la importancia de la brecha. "Esto podría ser desde un ataque superavanzado de spam hasta un actor estatal", dijo. "Si me hubieran dicho 700.000 cuentas, les diría que eso es un miércoles". Pero señaló que los ataques de secuestro de SMS suelen ser más selectivos que las tomas aleatorias, y “los estados autoritarios casi siempre tienen el control de las empresas de telecomunicaciones”.
Este exploit es el mayor compromiso conocido de cuentas de TikTok que ha sido reconocido como auténtico por la empresa. (TikTok negó los informes de otro supuesto ataque en septiembre de 2022.) En respuesta a una lista detallada de viñetas y preguntas sobre el ataque, el vocero de TikTok, Alex Haurek, escribió en un correo electrónico: “TikTok tuvo conocimiento de una actividad inusual en abril que afectaba al número de me gusta y cuentas seguidas en algunas cuentas de usuario. Inmediatamente tomamos medidas para revertir y poner fin a esta actividad, notificamos a los usuarios afectados y les ayudamos a asegurar sus cuentas”.
Haurek continuó: "TikTok no fue 'hackeada'. Ninguno de nuestros sistemas internos se vio comprometido y no se exfiltraron datos de la empresa. Cuando TikTok tuvo conocimiento del incidente en cuestión, inmediatamente intensificamos la vigilancia de comportamientos no auténticos, mientras trabajábamos para mitigar el problema, que ya se ha resuelto."
TikTok y su empresa matriz, ByteDance, se han enfrentado a un duro escrutinio en los últimos meses por engañar a los legisladores sobre sus prácticas de seguridad de datos. En abril, Forbes reveló que la compañía había almacenado información financiera sensible de miles de vendedores y creadores estadounidenses en China, a pesar del testimonio del consejero delegado de TikTok, Shou Zi Chew, en una reciente audiencia en la que afirmó que “los datos estadounidenses siempre se han almacenado en Virginia y Singapur”.
Tampoco está claro quién explotó la vulnerabilidad. Bajo el mandato de Erdogan, el gobierno turco tiene un historial de uso de redes de trolls patrocinadas por el Estado para piratear e intimidar a periodistas y otros críticos. En el periodo previo a las elecciones de mayo, Erdogan recurrió a los deepfakes y a la censura para ayudar a inclinar a los votantes de su lado.
Mientras tanto, ByteDance se encuentra bajo investigación penal federal por utilizar la aplicación TikTok para espiar a periodistas, incluido este reportero. (Revelación: en una vida anterior, ocupé cargos políticos en Facebook y Spotify).
Su principal oponente en las elecciones, Kemal Kilicdaroglu, también acusó al gobierno ruso de distribuir información falsa durante los días previos a las elecciones. Haurek dijo que una investigación interna de TikTok no encontró pruebas de que la actividad estuviera relacionada con las elecciones turcas.
Esta brecha de seguridad pone de relieve el poder y la responsabilidad que TikTok tiene ahora como una de las aplicaciones más populares del mundo. Al igual que los gigantes tecnológicos Meta, Twitter y Google, su interminable feed de recomendaciones personalizadas tiene el poder de mover los mercados, cambiar la cultura e influir en las elecciones. Este poder ha alarmado a los reguladores preocupados por los vínculos de la empresa con el Estado chino, pero también ha convertido su aplicación en un objetivo principal para piratas informáticos, ejércitos de bots, estafadores y otros que buscan explotar a sus miles de millones de usuarios.
El riesgo de explotación es mayor en los estados con antecedentes de violaciones de los derechos humanos, y también en los periodos previos a las grandes elecciones. TikTok ha restado importancia en repetidas ocasiones al papel de la política en su plataforma, diferenciándose de Facebook, que anteriormente animaba a los políticos a utilizar su plataforma para la promoción.
Sus grupos de presión han dicho a políticos y periodistas que TikTok "no es el lugar adecuado para la política", al tiempo que les han asegurado que el discurso político en la aplicación no será censurado. Pero con el giro a la derecha de Twitter y el giro de 180 grados de Meta para alejarse de los contenidos políticos (una decisión que la compañía tomó después de que los negacionistas de las elecciones en sus plataformas ayudaran a incitar el ataque del 6 de enero de 2021 en el Capitolio de EE.UU.), TikTok puede ser el próximo lugar natural para el discurso político.
Esta semana, TikTok publicó una entrada en su blog en la que anunciaba que la aplicación está introduciendo passkeys -una forma de que los usuarios inicien sesión en sus cuentas sin utilizar códigos SMS- y que se había unido a un grupo comercial de seguridad llamado FIDO Alliance. Un tuit de la Alianza FIDO muestra que TikTok se unió al grupo en abril, y que la nueva función de passkeys se puso en marcha a finales de junio.
Cuando se le preguntó si alguno de los proveedores de SMS de TikTok o ByteDance seguía participando hoy en día en el enrutamiento gris, Haurek dijo: “Como muchas empresas globales, tenemos múltiples socios en el sector de las telecomunicaciones y, aunque no revelamos esos socios por geografía, trabajamos continuamente para mantener segura a nuestra comunidad”.
