En enero de este mismo año, los ingenieros de Twitter corregían una vulnerabilidad muy grave en la propia API de la plataforma que permitía el acceso a los datos de otros usuarios. Hasta ahora, esta vulnerabilidad había quedado solo como una más, corregida internamente antes de que fuera demasiado tarde, y listo. Sin embargo, el pasado mes de julio, un pirata informático empezó a vender una base de datos de esta red social con información personal y privada de más de 5.4 millones de usuarios. El precio que pedía por la base de datos era de 30.000 dólares.
Entre otra, la información que se podía encontrar en ella eran IDs de Twitter, nombres, usuarios, contraseñas, estados de verificación… pero también números de teléfono verificados y direcciones de correo. Toda esta información se ha podido obtener mediante solicitudes inversas a la API, que, partiendo del ID de usuario, la API devolvía el resto de la información.
Además de la base de datos de 5.4 millones de usuarios, también se consiguió, desde otra API diferente, los datos de más de 1.4 millones de usuarios, especialmente de usuarios con perfiles suspendidos y bloqueados, lo que hace un total de 7 millones de cuentas vulneradas. Eso sí, esta segunda base de datos solo se ha compartido con un círculo muy pequeño de «hackers» de confianza.
Ahora, esta base de datos se ha empezado a compartir en privado a través de varios foros especializados. Por tanto, cualquiera que sepa como buscar puede hacerse con ella. Esta base de datos incluye los 5.4 millones de cuentas robadas, además del 1.4 millones de datos de cuentas suspendidas, haciendo un total de 6.7 millones de entradas de usuarios de Twitter. El problema es que, aunque nos parezcan muchas cuentas, es solo una pequeña parte de algo mayor.
-Una base de datos con decenas de millones de usuarios
Aunque hasta ahora no se había filtrado información al respecto, todo apunta a que otro grupo de hackers consiguió aprovechar la vulnerabilidad de la API antes de que fuera solucionada para crear una base de datos con decenas de millones de usuarios de Twitter. En esta base de datos aparecería la misma información que en la anterior, ya que eran los datos a los que permitía acceder la API, destacando, especialmente, los números de teléfono y los correos validados.
Los piratas que ahora están vendiendo esta base de datos masiva, además, la tienen muy bien ordenada y organizada, pudiendo incluso filtrar por países concretos para realizar ataques dirigidos.
-¿Qué puedo hacer?
Las contraseñas de los usuarios, y los datos bancarios introducidos, por ejemplo, para pagar Twitter Blue, no se han visto comprometidos. Pero sí que lo han estado las direcciones de correo y los teléfonos. Esto puede dar lugar a un aumento exponencial de los ataques informáticos dirigidos y al phishing. Por tanto, es aquí donde tenemos que prestar especial atención.
Es muy probable que muy pronto aumenten las llamadas con engaños, o los correos electrónicos que busquen que entremos en enlaces, descarguemos archivos, o les facilitemos más datos personales. Por tanto, es necesario extremar las precauciones para evitar que, por culpa de este nuevo ataque a Twitter, terminemos estando en problemas.