Twitter deshabilitó una de sus funciones a raíz de un ataque a su CEO
Los envíos de tuits a partir de mensajes de texto quedarán cancelados hasta próximo aviso.
Después de que la cuenta de Jack Dorsey, CEO de Twitter, fuera víctima de ataques cibernéticos, los responsables del soporte técnico de la aplicación decidieron cancelar temporalmente la posibilidad de tuitear vía SMS (mensaje de texto) con el fin de proteger las cuentas de sus usuarios. A través de un comunicado, la compañía informó que se había tomado esta decisión "debido a las vulnerabilidades que necesitan ser atendidas por las operadoras móviles y nuestra dependencia a estar vinculados a un número telefónico para autenticación de dos pasos (estamos trabajando para mejorar esto".
Cabe recordar que la capacidad de tuitear a través de los mensajes de texto fue importante durante los primeros días del servicio y aunque en la actualidad las personas confían en mayor medida en la app para smartphones, aún se puede usar la función enviando un mensaje de texto al número 40404 para que se publique un tuit. Sin embargo, desde la red social son conscientes de que eso puede generar problemas, pues abre la posibilidad de secuestrar la cuenta al mismo tiempo de que se roba el número de teléfono de una persona. Esta técnica está siendo utilizada por los piratas informáticos cada vez más a causa de que las compañías telefónicas no suelen preocuparse por proteger a sus usuarios.
En este sentido, Twitter compartió la responsabilidad de las vulnerabilidades con los operadores de telefonía móvil, pues mencionó que ellas también deben trabajar para solucionar esos problemas que dejan el camino libre para los ataques de piratas informáticos. Acerca de cuándo volverá a estar disponible esta función para sus usuarios, la red social únicamente dijo que se reactivara "pronto en mercados que dependen de SMS para una comunicación confiable" en tanto que se trabaja en una "solución a largo plazo", sin embargo, no reveló más detalles sobre este tema.
En qué consistió el hackeo de la cuenta de Jack Dorsey
A finales de la semana pasada, los más de cuatro millones seguidores de Jack Dorsey se encontraron con mensajes racistas, sexistas y antisemitas en su cuenta, los cuales habían sido publicados por un grupo de atacantes cibernéticos. El perfil del CEO de Twitter se recuperó al cabo de 15 minutos, pero ese tiempo fue suficiente para que se mostraran las graves vulnerabilidades que pueden tener las cuentas de más alto perfil, así como el grado de inseguridad a partir de la autenticación basada en el teléfono.
Los hackers ingresaron a la cuenta de Dorsey a partir del servicios de mensajes de texto a tuit, mismos que son operados por Cloudhopper, una startup adquirida por Twitter en 2010 y cuyo objetivo es conectar a los principales servicios móviles en el mundo con Twitter. El principal problema de este asunto se halla en el hecho de que obtener el control del número de teléfono de Dorsey no fue algo tan complicado. Incluso desde Twitter declararon que una "supervisión de seguridad" por parte del proveedor permitió que los atacantes obtuvieran el control.
En otros términos, a este tipo de violaciones de cuentas se les llama piratería de SIM y esencialmente consiste en convencer a una compañía de que asigne el número de la víctima a un nuevo teléfono que ya se encuentra bajo su control. Al respecto, Twitter declaró que en "los últimos ocho meses nosotros hemos trabajado con una startup llamada Cloudhopper para convertirnos en uno de los programas de SMS de mayor volumen del mundo, ya que procesamos cerca de mil millones de tuits SMS por mes y ese número está creciendo alrededor del mundo".
Cabe resaltar que esta no es una técnica nueva, pero se usa con mayor frecuencia para robar Bitcoin o para perfiles de Instagram de alto valor. Por su parte, Chuckling Squad, el grupo de hackers que secuestraron la cuenta de Dorsey también han estado jugando con este tipo de vulnerabilidades y otra de sus víctimas fue la influencer de Instagram, Amanda Cerny.