Hola, me robaron tus datos personales… Atte. Twitter

Datos personales de 5.4 millones de usuarios de Twitter fueron robados a esa red social y ofrecidos en foros en internet de piratas informáticos por 30,000 dólares. Entre los afectados hay usuarios mexicanos. 

“Tus datos personales se vieron afectados por una vulneración de seguridad reciente”, se lee en un correo enviado por Twitter el 11 de agosto a un usuario en México. Ni Twitter sabe cuántos usuarios de México fueron afectados. “El impacto fue mundial. No podemos determinar exactamente cuántas cuentas se vieron afectadas o la ubicación de los titulares de las cuentas”, me dijo un vocero de Twitter consultado sobre el incidente.

Twitter conoció en enero de 2022 un error de programación en su plataforma que permitía obtener números telefónicos y direcciones de correo electrónico de los usuarios, incluso si los usuarios habían ocultado esos datos en los controles de privacidad de Twitter. El error estuvo vigente por lo menos desde junio de 2021, cuando Twitter realizó una actualización de software.

“Hola, hoy les ofrezco datos de usuarios de Twitter obtenidos a través de una vulnerabilidad (5 millones 485,636 usuarios, para ser exactos)”, publicó un usuario en el foro Breached Forums el 21 de julio. El usuario pedía 30,000 dólares por los datos personales robados, informó el sitio de noticias sobre privacidad Restore Privacy. 

“Solucionamos la vulnerabilidad poco después de que se nos informara de ella, pero luego nos enteramos de que un actor malicioso recopiló ilegalmente estos datos y se pusieron a la venta”, me dijo el vocero de Twitter.

Tres semanas después de la publicación en Breached Forums, Twitter envió este mensaje a usuarios mexicanos afectados: “Nos comunicamos contigo porque tu cuenta de Twitter se vio afectada por una vulneración de seguridad que se produjo a principios de este año. En esa oportunidad, se utilizó información de contacto privada, como un número de teléfono o una dirección de correo electrónico, para averiguar el identificador de tu cuenta en Twitter. Esto significa que si utilizas una cuenta de Twitter con seudónimo y se te puede identificar por tu número de teléfono o dirección de correo electrónico, es posible que tu cuenta ya no sea anónima”.

No es la primera vez que Twitter sufre un ataque cibernético que vulnera los datos personales de sus usuarios. Tampoco será la última. El adagio dice que en la era digital existen tres tipos de compañías: las que ya fueron hackeadas, las que serán hackeadas y las que volverán a ser hackeadas. El problema es que los más afectados son los usuarios, que ven sus derechos humanos lastimados (los derechos a la privacidad y a la protección de datos personales) y pueden ser víctimas de fraudes o suplantación y robo de identidad.

En este nuevo hackeo a Twitter, además, las afectaciones pueden vulnerar el derecho a la libertad de expresión, pues los datos robados permiten revelar la identidad de cuentas en la plataforma.

Twitter comunicó algunos consejos a los usuarios afectados por la filtración de su información personal, como evitar el uso de “un número de teléfono o una dirección de correo electrónico de conocimiento público”, sugirió cambiar la dirección de correo electrónico y usar la doble autentificación para acceder al servicio (como contraseña y un mensaje de texto al teléfono). Este último, un consejo inútil, porque la extracción se hizo directamente de las bases de datos de Twitter.

Desde acá, yo le paso un consejo a Twitter: no recabes información que no necesitas.

En la lógica del capitalismo de la vigilancia, las corporaciones solicitan más datos de los necesarios para operar sus servicios. Esos datos extra permiten a las compañías completar los perfiles de sus usuarios y categorizarlos para explotación y reventa. Un correo electrónico puede revelar otros servicios digitales utilizados por el usuario o la organización para la que trabaja. Un número telefónico puede revelar la localidad de residencia. Combinados, las inferencias pueden ser mayores y más precisas.

En protección de datos personales, menos es más.

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)

Comentarios