(CNN) – Las direcciones de correo electrónico vinculadas a más de 200 millones de perfiles de Twitter circulan actualmente por foros clandestinos de hackers, según afirman expertos en seguridad.
La aparente filtración de datos podría poner al descubierto las identidades reales de usuarios anónimos de Twitter y facilitar a los delincuentes el secuestro de cuentas, advirtieron los expertos, o incluso de cuentas de víctimas en otros sitios web.
El tesoro de registros filtrados también incluye los nombres de los usuarios de Twitter, los nombres de cuenta, el número de seguidores y las fechas de creación de las cuentas, según los listados de foros revisados por los investigadores de seguridad y compartidos con CNN.
Rafi Mendelsohn, portavoz de Cyabra, una empresa de análisis de redes sociales que se dedica a identificar la desinformación y el comportamiento no auténtico en Internet, afirma: “Los malos actores se llevaron el premio mayor”. “Datos que antes eran privados, como correos electrónicos, nombres de usuario y fecha de creación, pueden aprovecharse para construir campañas de hacking, phishing y desinformación más inteligentes y sofisticadas”.
Algunos informes sugirieron que los datos se recopilaron en 2021 a través de un error en los sistemas de Twitter, una falla que la compañía corrigió en 2022 después de que un incidente separado en julio que involucró a 5,4 millones de cuentas de Twitter alertó a la compañía sobre la vulnerabilidad.
Troy Hunt, un investigador de seguridad, dijo este jueves que su análisis de los datos “encontró 211.524.284 direcciones de correo electrónico únicas” que habían sido filtradas. El diario The Washington Post informó anteriormente que un foro promocionaba los datos de 235 millones de cuentas.
Hunt no respondió inmediatamente a una pregunta de CNN sobre si los registros se añadirían a su sitio web, haveibeenpwned.com, que permite a los usuarios buscar registros pirateados para determinar si fueron afectados. CNN no ha verificado de forma independiente la autenticidad de los registros.
Twitter no respondió inmediatamente a una solicitud de comentarios. Su equipo de comunicación, junto con aproximadamente la mitad de la plantilla total de Twitter, fue despedido después de que el multimillonario Elon Musk completara la adquisición de la empresa a finales de octubre. Las importantes reducciones de personal podrían sumarse ahora a las preocupaciones sobre la capacidad de la empresa para responder a las amenazas de seguridad.
La amplitud de los datos filtrados podría permitir a agentes maliciosos o gobiernos represivos conectar cuentas anónimas de Twitter con los nombres reales o direcciones de correo electrónico de sus propietarios, desenmascarando potencialmente a disidentes, periodistas, activistas u otros usuarios en situación de riesgo en todo el mundo, advierten los investigadores de seguridad.
“Para esas personas, se trata de una vulneración muy importante”, afirma John Scott-Railton, investigador de seguridad del Citizen Lab de la Universidad de Toronto.
Los datos de las cuentas también podrían ser valiosos para los hackers, que podrían utilizarlos para intentar restablecer las contraseñas y apropiarse de las cuentas. Según los investigadores, el riesgo es especialmente alto para las personas que utilizan las mismas credenciales de cuenta en Twitter que en otros servicios digitales, como bancos o almacenamiento en la nube, porque los hackers podrían aprovechar la información obtenida de la filtración para abrir cuentas de usuario en otros sitios.
Los usuarios verificados de Twitter afectados por la aparente filtración, o los usuarios con un número de seguidores especialmente elevado, serán objetivos especialmente valiosos como consecuencia de la filtración, advirtieron los expertos en seguridad, ya que los titulares de esas cuentas pueden ser celebridades especialmente influyentes o susceptibles de extorsión.
Para protegerse de los intentos de suplantación de identidad, los usuarios deben utilizar contraseñas únicas para cada servicio en línea y hacer un seguimiento de ellas mediante un gestor de contraseñas digital, señalan los investigadores de seguridad. También deben activar la autenticación multifactor para cada una de sus cuentas y tener cuidado al abrir correos electrónicos o enlaces no solicitados.
Según el medio de ciberseguridad BleepingComputer, que afirmó haber analizado los datos, la reciente filtración parece similar a otra anunciada en foros de hackers en noviembre, que contenía 400 millones de registros, aunque se ha reducido para eliminar algunos duplicados. Twitter no ha hecho comentarios sobre esa filtración.
Los informes de la filtración podrían ampliar el ya importante riesgo legal y normativo de Twitter.
En diciembre, el principal regulador europeo de la privacidad de Twitter, la Comisión de Protección de Datos de Irlanda, dijo que está investigando la filtración de julio de 2022 como una posible violación de la ley de privacidad más importante de Europa, conocida como GDPR.
El verano pasado, el exjefe de seguridad de la empresa Peiter “Mudge” Zatko presentó un informe al Gobierno de EE.UU. en el que denunciaba vulnerabilidades de seguridad ignoradas durante mucho tiempo en las operaciones de Twitter. Zatko afirmaba que las deficiencias de Twitter en materia de seguridad reflejaban un incumplimiento de los compromisos vinculantes de la compañía con la Comisión Federal de Comercio (FTC, por sus siglas en inglés), lo que constituía un delito grave. (Twitter rebatió amplia y repetidamente las acusaciones de Zatko).
Sucesivos incidentes en Twitter han llevado a la empresa a firmar dos órdenes de consentimiento con la FTC desde 2011 para mejorar su postura de ciberseguridad. El incumplimiento de las órdenes de la FTC puede dar lugar a multas, restricciones comerciales e incluso sanciones contra ejecutivos individuales.
En noviembre, altos cargos de Twitter responsables de privacidad y seguridad dimitieron de la empresa, pocos días después de que Musk concretara la adquisición de la plataforma y en medio de los despidos masivos que en algunos casos impactaron a departamentos enteros.