Twitter tendría una importante falla de seguridad

Twitter está presentando una importante falla de seguridad en el envío de tweets por SMS, según el consultor en seguridad Jonathan Rudenberg. Aunque probablemente, considerando la cantidad de smartphones que hay hoy en día en el mundo, los usuarios que envíen tweets a través de SMS son escasos, es un problema de seguridad importante que hacía bastante no registraba un servicio del calibre de Twitter. De acuerdo con Rudenberg, un tercero podría asumir la identidad del dueño de la cuenta si tiene habilitada la opción para realizar posts de esta manera.

La vulnerabilidad afecta nada más a los usuarios que tengan activada la publicación de mensajes por SMS, con lo que se podrían publicar mensajes en nuestro nombre y hasta cambiar la información de nuestro perfil. Cuando ingresamos nuestro número telefónico, Twitter solamente procesará las peticiones que le lleguen de dicho número. Pero, lamentablemente, parece que usando una pasarela intermedia que suplante nuestro número de teléfono, un extraño puede controlar nuestra cuenta sin que nosotros nos demos cuenta.

Por el momento, Twitter todavía no ha presentado una solución a este problema. ¿Qué podemos hacer si pensamos que estamos afectados? Tengamos en cuenta que los usuarios que hayan ingresado su número telefónico son los únicos susceptibles de caer víctimas de esta vulnerabilidad, por lo que lo primero que tenemos que hacer es chequear que no la tengamos activada en nuestra propia cuenta. Esta es la forma más simple de hacerlo, pero si realmente le encontramos una utilidad al servicio, entonces tenemos que habilitar también un código de seguridad. Esto depende de cada país, pero podría “certificar” la autoría del tweet.

Ahora bien, los riesgos no son tan grandes como podemos pensar. Afortunadamente la vulnerabilidad no ha sido explotada, pero podría serlo. Para poder ser afectados, el atacante tiene que conocer nuestro número de teléfono y saber que tenemos habilitada esta opción. Considerando otras vulnerabilidades para otros servicios que se han dado a conocer en tiempos recientes, no es, al menos a nivel del usuario de a pie, algo tan preocupante. Simplemente tenemos que chequear no tenerlo habilitado, cuando lo más probable es que no lo estemos usando.