Pilas: información de 5,4 millones de usuarios de Twitter quedó expuesta por error

Este lunes, la popular red social Twitter confirmó que fue objeto de un robo por parte de cibercriminales, en una sensible vulneración a su seguridad y la de sus usuarios, lo que habría comprometido la filtración de datos de cerca de 5,4 millones de cuentas de la plataforma.

En ese sentido, y ante la magnitud de la vulneración a sus usuarios, la red social, según detallan medios internacionales que reportan el ciberdelito con alcance global, anunció que se pondrá en comunicación con los propietarios de las cuentas afectadas para avisar que su información personal quedó expuesta, invitándolos a tomar medidas necesarias para resguardar su información.

De acuerdo con medios internacionales, la vulneración respondió a la existencia de una brecha de seguridad en la opción de vinculación de la cuenta en la red social, con un número telefónico, o una cuenta de correo electrónico, lo que podría haber dejado en descubierto datos sensibles de sus usuarios, más aún en los casos en los que las cuentas son empleadas por personas que, deseando no revelar su identidad, han optado por el uso de un seudónimo.

Según refieren medios internacionales, la plataforma habría tenido conocimiento de la situación desde comienzos del año en curso, luego de la emisión de un informe por parte de sus programa de bugs o errores en el que se daba cuenta de la existencia de una grieta en la seguridad de la plataforma, advirtiendo a su vez que esta podría dar espacio a la ocurrencia de robos o filtraciones de datos de sus usuarios.

El informe, a cargo de la plataforma HackerOne, responde a un ejercicio que adelantan las mismas plataformas para la identificación de grietas en sus sistemas de seguridad, en el que ponen a prueba sus propias estructuras digitales.

Esa clase de estudios comprende, a su vez, a grupos de expertos a quienes se recompensa económicamente cuando dan cuenta de ese tipo de grietas en los sistemas de seguridad.

En el caso de la grieta encontrada, según detalla El País de España, esta fue encontrada por un usuario conocido como zhirinovskiy, quien identificó la existencia del vacío de seguridad, sobre todo en cuentas abiertas desde dispositivos telefónicos que operan con el sistema Android.

Según detalla lo reportado por el usuario, la falla de seguridad abría la posibilidad a que “cualquier persona” que introdujera una dirección de correo electrónico o número telefónico, pudiese tener acceso a las cuentas de Twitter que a ella estaban asociados, lo que resulta contraproducente para los usuarios que, incluso, en la red social, habían decidido mantener su participación en el anonimato.

Tras la identificación del bug, la firma encargada de ello reconoció la existencia de tal problema en un escrito a través de su blog.

Explica la compañía que el sensible fallo se habría originado a través de una actualización de su código, en un cambio implementado hace más de un año, más precisamente en junio del año 2021, dando espacio a la identificación del error, para proceder a la solución correspondiente, la cual tuvo una respuesta, según Twitter, inmediata.

Aunque, según Twitter, para el momento no existían ‘evidencias’ del aprovechamiento de la vulnerabilidad por parte de los ciberdelincuentes, el pasado mes de julio la aparición de un reporte de RestorePrivacy dio cuenta de cómo la grieta habría dejado expuestos a cerca de 5,4 millones de usuarios o cuentas, refiriendo a su vez que dicha información emanada de la vulneración de seguridad había quedado expuesta y había sido incluso comercializada a través de foros o sitios web especializados de piratería.

La plataforma en la que se habría librado la venta de dichos datos es conocida como Breached Forums.

En ese sentido, y tras comprobar los datos expuestos, la plataforma Twitter pudo determinar que estos habían sido hurtados previo a la solución del fallo, por lo que anunció que buscaría remediar la situación, poniendo en alarma a los usuarios sobre quienes se sabe aplicó la vulneración, incluso identificando el dato puntual que quedó en riesgo.

Pese a la investigación en curso, Twitter también aclaró que, en tanto le es imposible poder validar la totalidad de las cuentas, a través de su blog ha optado por informar sobre lo acaecido, ante la imposibilidad de determinar en cada uno de los casos, si la información estuvo o no expuesta.

Para hacer frente al bug, Twitter ha manifestado la conveniencia de que sus usuarios empleen la llamada verificación de dos pasos, pese a que dentro de los datos no quedaron expuestas las claves.

En ese mismo sentido, desde Twitter también han recomendado, a quienes quieren mantener el anonimato, evitar ligar las cuentas a números telefónicos a través de los que podrían ser eventualmente identificados.