Twitter admitió el 5 de agosto de 2022 haber sufrido un ciberataque: alguien se ha aprovechado de una vulnerabilidad de su sistema que permitía que cualquier persona que introdujera una dirección de correo electrónico o un número de teléfono en el sistema de la plataforma pudiera ver si había una cuenta asociada y, en tal caso, cuál era. Es decir, se podía acceder al correspondiente identificador o ID de la cuenta, que es único y nos permite obtener el nombre del usuario, teniendo un email o un teléfono.
Cuando iniciamos sesión en Twitter, la plataforma nos solicita el teléfono, correo electrónico o nombre de usuario. El error que acaba de reconocer la red social estaba en el proceso de autorización de la versión de Twitter para Android, específicamente en el proceso de comprobación de la duplicación de una cuenta de la red social. Con toda la información que se podía extraer a partir de esta vulnerabilidad, se podía construir una base de datos en la que se asociaran emails, teléfonos e ID de Twitter, y para ello solo era necesario un conocimiento básico de secuencias de comandos y codificación.
Esta brecha de seguridad es especialmente delicada para usuarios que utilizan la red social bajo seudónimo, ya que si alguien tuviera el correo o el teléfono de una persona y probara a acceder, podría haber averiguado a qué cuenta anónima de Twitter pertenecía.
Cronología de una vulnerabilidad abierta durante más de seis meses
La red social ha reconocido ese ciberataque a través de una entrada en su blog de privacidad, donde ha detallado cómo ha sabido de él. Se explica que en enero de 2022 recibieron un informe a través del programa de recompensas por errores, donde expertos en seguridad e investigadores pueden reportar vulnerabilidades de la red social. En este caso, fue el hacker conocido como ‘zhirinovskiy’ de la plataforma HackerOne quien descubrió la vulnerabilidad en cuestión. Aquí puede leerse la entrada en que zhirinovskiy reporta el error, donde añade que el atacante podría encontrar una cuenta de Twitter gracias al correo o teléfono incluso si el usuario lo había prohibido en las opciones de privacidad.
Esta vulnerabilidad en concreto se debía a una actualización del código de Twitter en junio de 2021. Es decir, desde junio de 2021 a enero de 2022, el sistema tuvo expuesta esta brecha de seguridad sin que Twitter fuera consciente. El 13 de enero, un ingeniero de seguridad de Twitter confirmaba que estaba arreglado.
“Cuando nos enteramos de esto, lo investigamos de inmediato y lo solucionamos. En ese momento, no teníamos evidencia que sugiriera que alguien se había aprovechado de la vulnerabilidad”, explican. Pues, en ese momento, no, pero unos meses después, en julio de 2022, sí han tenido conocimiento de que un ciberdelincuente se ha aprovechado de esto y está vendiendo la información recopilada.
El portal especializado RestorePrivacy publicó el 21 de julio que los datos filtrados se estaban ofertando en el foro de piratería Breached Forums por 30.000 dólares y ascendían supuestamente a 5,4 millones de cuentas (incluyendo famosos y empresas).
Otra web, BleepingComputer, afirmó el 22 de julio que había hablado con el ciberdelincuente, apodado ‘devil’, y que este corroboraba que esta información era cierta y que provenía de esa vulnerabilidad de Twitter. El portal dice que pudo verificar que en efecto había información privada asociada a usuarios de Twitter gracias a una pequeña muestra de datos que el ciberdelincuente les facilitó, pero que no podían corroborar que la cifra fuera de 5,4 millones de cuentas cómo se ofrecía.
En noviembre de 2022, BleepingComputer añadía nueva información sobre esta fuga de datos: según el portal, los datos se habrían hecho públicos de forma gratuita el 24 de noviembre en el mismo foro de piratería. De acuerdo a BleepingComputer, el propietario del foro les ha confirmado que serían los mismos datos, aunque tal y como se recoge en la publicación, hay datos de 1,4 millones de cuentas más.
Sin embargo, el especialista en ciberseguridad Chad Loder compartía en su Twitter (antes de que le suspendieran la cuenta por esta publicación) que no se trata de la misma información: según Loder, el formato y las cuentas afectadas son diferentes. Es decir, la fuga de datos sería más masiva de lo esperado o podría tratarse de una segunda fuga. A 28 de noviembre, Twitter no se ha pronunciado al respecto. *
Cómo reforzar la seguridad y qué hacer si eres un usuario con una cuenta anónima
Twitter dice que han revisado los datos que están a la venta y que van a notificar directamente a los propietarios de las cuentas que se han visto expuestas. Sin embargo, reconocen que no van a poder hacerlo con todas las que se han visto potencialmente afectadas.
Por eso, y aunque las contraseñas no se han visto comprometidas (solamente qué cuenta está asociada a un número o a un correo electrónico), desde la plataforma recomiendan a los usuarios habilitar la autenticación de dos factores. Esta capa adicional de seguridad para tu cuenta de Twitter es recomendable siempre, haya vulnerabilidades abiertas o no.
Con la autenticación de dos factores, hay dos pasos para acceder a la cuenta: la contraseña inicial y, después, un código o clave de seguridad. Aquí se recogen algunos consejos de ayuda extra.
En el caso de los usuarios que utilizan seudónimo y tienen cuentas anónimas, como se ha comentado, los riesgos son mayores. Como hemos analizado en Maldita.es, revertir el anonimato puede poner en riesgo la vida de personas en países autoritarios. La red social aconseja que en ese caso no se agreguen números de teléfono ni direcciones de correo electrónico conocidas públicamente (de hecho, en sus Términos de servicio no se especifica que tenga que ser obligatoriamente uno personal o que nos pertenezca).
También es aconsejable redoblar la atención a posibles ataques de phishing en los que se hagan pasar por Twitter, especialmente si nos piden que ingresemos las credenciales de inicio de sesión, algo que solo debemos hacer en la web oficial Twitter.com.
* Hemos actualizado este artículo el 28 de noviembre de 2022 para incluir nueva información sobre el filtrado de datos.
Primera fecha de publicación de este artículo: 09/08/2022