Twitter confirmó este viernes que ciberdelincuentes aprovecharon una vulnerabilidad de la aplicación para filtrar información de al menos 5.4 millones de usuarios.
inicia sesión o regístrate.
Twitter confirmó este viernes que ciberdelincuentes aprovecharon una vulnerabilidad de la aplicación para filtrar información de al menos 5.4 millones de usuarios.
“Podemos confirmar que el impacto fue global”, dijo un vocero de Twitter en un correo electrónico. “No podemos determinar exactamente cuántas cuentas se vieron afectadas o la ubicación de los titulares de las cuentas”, aseguraron. Sin embargo, analistas en ciberseguridad estimaron esa cifra en el impacto.
El incidente afectó sobre todo a cuentas que usan seudónimos para no ser identificadas: si bien hay muchos bots y “trolls” bajo esta lógica, muchos usuarios prefieren no ser identificados públicamente en las redes sociales. La brecha de seguridad expuso mails y números de teléfonos de esas cuentas.
Twitter dijo que notificará directamente a los propietarios de cuentas afectadas, pero la información que apareció en julio de este año en un foro de compra y venta de datos personales apunta a 5.4 millones de cuentas.
Twitter, de hecho, señala en su comunicado que se dio cuenta del abuso de datos a través de un informe de prensa, pero no cita la fuente ni detalles adicionales.
“Estamos publicando esta actualización porque no podemos confirmar todas las cuentas que se vieron potencialmente afectadas, y somos particularmente conscientes de las personas con cuentas seudónimas que pueden ser atacadas por el Estado u otros actores”, dijo Twitter en un blog.
La exposición podría poner en grave peligro a las cuentas que utilizan el anonimato como protección contra el acoso y la violencia potencial, especialmente las cuentas pertenecientes a disidentes de países autoritarios.
Por poner algunos ejemplos, la información de los usuarios es tan valiosa para los estados autocráticos que un ex empleado de Twitter ahora enfrenta un juicio por supuestamente aceptar pagos del gobierno de Arabia Saudita a cambio de compartir información sobre disidentes políticos. En Irán, Twitter también se ha convertido en una plataforma popular para los disidentes políticos.
Los datos expuestos en la violación de Twitter serían de gran utilidad para las autoridades en países como Irán o Arabia Saudita, dice el fundador de Cerfta Lab, Amin Sabeti, que se especializa en investigación de seguridad relacionada con Irán.
Sabeti identificó a actores estatales que perseguían cuentas privadas en el pasado, utilizando técnicas de ingeniería social como hacerse pasar por una mujer atractiva para obtener una cuenta que revelara información personal real.
“Si el régimen iraní puede obtener una copia de estos datos y luego encontrar su objetivo, no importa si el usuario elimina la cuenta ahora mismo porque el usuario será identificado a través de un número de teléfono móvil o correo electrónico”, escribió Sabeti en un mensaje a Cyber Scoop. “Eventualmente, es un juego perdido para la víctima potencial en Irán y es posible que nunca tengamos noticias de ellos. Serán arrestados o incluso sentenciados a muerte”.
Un conjunto tan masivo de datos también podría explotarse con fines comerciales, incluida la publicidad.
Twitter abordó la vulnerabilidad después de que un investigador lo informara a través del programa de recompensas por errores (bug bounties) de la compañía en enero de 2022, lo que significa que cualquier cuenta creada después de esa fecha no debería verse afectada por el incidente. La compañía dice que el error fue el resultado de una actualización de código de 2021.
No se trata del primer problema de este tipo en la red social. En mayo, Twitter acordó pagar una multa de 150 millones de dólares para resolver una queja del Departamento de Justicia que alega que la empresa entre 2014 y 2019 usó la información de los titulares de las cuentas proporcionada para verificar la seguridad con fines publicitarios sin el permiso del usuario.
En 2020, los reguladores irlandeses multaron a Twitter con casi medio millón de dólares por un error que expuso tuits privados. La compañía advierte a los usuarios que no vinculen datos confidenciales a cuentas anónimas.
“Si opera una cuenta de Twitter seudónima, entendemos los riesgos que puede presentar un incidente como este y lamentamos profundamente que esto haya sucedido”, escribió Twitter en su blog el viernes.
“Para mantener su identidad lo más oculta posible, recomendamos no agregar un número de teléfono o dirección de correo electrónico conocidos públicamente a su cuenta de Twitter”, aclararon.