No hagas capturas de pantalla en TikTok — ahora así puedes perder todo tu dinero

Una campaña de fraude a gran escala llamada ClickTok se ha extendido por todo el mundo, utilizando TikTok como fachada para distribuir el spyware malicioso SparkKitty. Según informó la empresa CTM360, el ataque combina técnicas de phishing con aplicaciones infectadas para robar criptomonedas y vaciar las cuentas de las víctimas.

ClickTok opera como una estructura bien organizada de engaño que se hace pasar por la plataforma TikTok Shop. Los atacantes crean sitios web que imitan perfectamente páginas legítimas como TikTok Shop, TikTok Wholesale y TikTok Mall. A través de estos portales, los usuarios son invitados a comprar productos, unirse a programas de afiliados o recargar saldo. Pero al intentar hacer un pedido, las víctimas se ven forzadas a pagar en criptomonedas, sin acceso a métodos de pago tradicionales.

Es durante el proceso de pago o al instalar una aplicación falsa cuando comienza la infección. El malware SparkKitty —una variante de los troyanos SparkCat— accede a la galería del dispositivo, incluyendo capturas de pantalla y fotos. Esto le permite extraer datos de monederos de criptomonedas visibles en pantalla. Al mismo tiempo, roba silenciosamente credenciales de acceso, direcciones de monederos y otra información sensible.

Una de las particularidades de esta campaña es su arquitectura híbrida. Por un lado, se emplean sitios falsos con dominios realistas como .top, .shop y .icu, difundidos a través de publicidad en servicios de Meta y vídeos falsos generados por IA. Estos sitios recolectan contraseñas, logins y datos financieros. Por otro, se ofrece una app falsa de TikTok que luce idéntica a la oficial, pero espía al usuario, monitorea el portapapeles y registra la actividad en pantalla.

CTM360 informa que se han detectado más de 10 000 sitios web fraudulentos y más de 5 000 versiones maliciosas de apps relacionadas. Se propagan mediante códigos QR, aplicaciones de mensajería y enlaces embebidos en anuncios. El objetivo son tanto compradores como participantes en programas de afiliación de TikTok, a quienes se les prometen bonificaciones, cashback o promociones tentadoras.

La meta de los atacantes es tomar control total de los activos digitales de sus víctimas. En vez de usar pasarelas de pago tradicionales, se solicita ingresar directamente los datos de los monederos de criptomonedas —a menudo a través de una página falsa de recarga de saldo. Se persuade al usuario para que transfiera USDT, ETH u otras divisas al supuesto "monedero TikTok", tras lo cual el dinero desaparece sin dejar rastro y el acceso a la cuenta puede quedar completamente comprometido.

Para protegerse, los expertos recomiendan evitar la instalación de apps modificadas o de procedencia dudosa, especialmente si provienen de Telegram o redes de torrents. Es fundamental verificar manualmente los nombres de dominio y prestar atención a las extensiones web. También se aconseja usar soluciones antivirus o productos EDR capaces de detectar el comportamiento de SparkKitty. Quienes usan criptomonedas deben optar por apps que protejan el portapapeles y evitar guardar claves privadas como capturas de pantalla.

La campaña ClickTok es un claro ejemplo de cómo evolucionan rápidamente las estrategias de fraude digital, combinando ingeniería social, publicidad engañosa y aplicaciones móviles maliciosas. En un contexto donde TikTok se consolida como plataforma de comercio, estos ataques se vuelven cada vez más sofisticados y masivos.