Por mucho que protejamos nuestras cuentas online (con usuarios y contraseñas al azar, con doble autenticación, etc), es imposible conseguir una protección plena. Aunque pensemos que tenemos todo bajo control, no podemos controlar la seguridad de los servidores donde se guardan nuestros datos. Y es precisamente aquí donde más atacan los piratas informáticos. Aunque los gigantes de Internet se gasten miles de millones en ciberseguridad, siempre termina apareciendo una brecha a través de la cual consiguen poner en jaque la seguridad de todos sus usuarios. Y el último en caer en las garras de los piratas informáticos ha sido Twitter.
Este mismo fin de semana se ha dado a conocer una gran brecha de seguridad a través de la cual un pirata informático, bajo el pseudónimo «devil», ha conseguido hacerse con los datos de más de 5.4 millones de usuarios de Twitter. Para ello, este ciberdelincuente se ha aprovechado de una vulnerabilidad muy similar a la que afectó a Facebook en 2021 y que permitió el robo de 533 millones de cuentas de usuario.
El fallo de seguridad permite (o permitía, mejor dicho) que un atacante consiguiera el ID único de cualquier usuario de Twitter sin necesidad de ninguna autenticación. Una vez se consigue el ID, es posible usarlo para enviar información, como el número de teléfono o el email, y saber si este corresponde con el del ID del usuario. Twitter devuelve la coincidencia incluso si el usuario tenía configurada la privacidad de la red social para ocultar esta información.
Estos datos pueden utilizarse para varios fines. Por ejemplo, es posible usarlos para llevar a cabo otros ataques de phishing frente a determinados usuarios, o como información adicional para recuperar la contraseña de cualquier cuenta.
¿Son datos reales?
Los datos fueron recopilados por el pirata informático en diciembre de 2021, ya que la vulnerabilidad se reportó a Twitter el 1 de enero, y corregida el 13 de enero. Ahora, 7 meses más tarde, el pirata informático ha puesto a la venta esta base de datos por 30.000 dólares. Pero ¿cómo podemos saber si son reales?
Por el momento, Twitter no ha hecho declaraciones al respecto, por lo que aún no hay información oficial sobre la venta de los datos. Sin embargo, el pirata informático ha proporcionado al portal Bleeping Computer una pequeña muestra de los datos robados (con correos y números de teléfono), y aseguran que los datos son auténticos. Otra cosa es que todos los datos de los 5.4 millones de usuarios vulnerados lo sean, algo que ya es más complicado. Además, la lista, por ahora, no se encuentra disponible en plataformas como haveibeenpwned, por lo que no podemos comprobar si estamos, o no, dentro de esta base de datos.
Sea como sea, debemos extremar las precauciones, y estar muy atentos a posibles mensajes, llamadas o correos que puedan intentar engañarnos. Aunque las contraseñas parece que no se han visto afectadas, debemos estar también atentos a cualquier posible actividad sospechosa en nuestra cuenta (nuevos seguidores, mensajes publicados sin permiso, etc), y, si detectamos cualquier cosa rara, cambiar la contraseña y repasar todas las opciones de seguridad.