El hackeo de Twitter dejó en evidencia la fragilidad de sus mensajes directos (DM), ¿sabes por qué?

Hace poco más de una semana nos despertamos con la noticia de que Twitter había sufrido el mayor hackeo de su historia ya que vió cómo los hackers consiguieron meterse dentro del sistema y suplantar a algunas de las cuentas verificadas más seguidas e influyentes del mundo. Un control total que fue provocado por el acceso a través de herramientas de administrador que les dieron vía libre a los piratas para hacer de las suyas sin oposición alguna.

El reclamo que utilizaron durante el hackeo fue simple: publicar mensajes en esas cuentas verificadas donde se invitaba a enviar una cantidad de Bitcoins con la promesa de que en pocos días se duplicaría. Una rentabilidad que evidentemente no se iba a cumplir jamás y que tendría como víctimas a los millones de usuarios que llegaran a fiarse de esos mensajes de cuentas verificadas (Apple, Elon Musk, Bill Gates, Joe Biden, Kanye West, Barack Obama, Uber, etc.), en la red social.

Aunque en un primer momento el alcance del ataque se circunscribió a esa suplantación de cuentas verificadas, en una investigación posterior Twitter encontró evidencias de que los atacantes también se fijaron en los DM de otros muchos usuarios, cuyo contenido fue consultado online y, en los menos casos, descargados directamente a ordenadores.

Los mensajes directos, ¿en riesgo?

En total, 36 cuentas sufrieron ese asalto a sus mensajes directos (DM), esos que utilizamos como un simple chat al estilo de WhatsApp, y que cientos de miles de usuarios de Twitter consultan a diario para hablar con amigos y familiares. Así que si en tantas cuentas de “alto nivel” consiguieron acceder a datos sensibles de sus conversaciones, ¿qué podemos hacer para protegernos?

Una de las vulnerabilidades que ha dejado al descubierto este hackeo es que Twitter puede hacer más para proteger esos DM, de tal forma que incluso en el caso de sufrir un asalto por parte de un atacante, estos no puedan descargárselos tan fácilmente y almacenarlos en su ordenador para más tarde analizarlos y comerciar con potenciales datos de interés.

Es por eso que, en las últimas horas, muchos usuarios de Twitter se han dirigido a la red social para pedirla que tome medidas en este punto, incorporando si hace falta a esos DM algún tipo de encriptación a la que solo pueda tener acceso el titular de la cuenta. Incluso algún que otro senador de los EE.UU., concretamente Ron Wyden de Oregón, se ha dirigido a los de Jack Dorsey para preguntarles "por qué los DM no están encriptados", por lo que es evidente que se están dando las circunstancias para que los norteamericanos se replanteen los estándares de seguridad que tienen activos en su red de microblogging.

De esas 36 cuentas cuya bandeja de entrada de DM fue consultada, solo una pequeña parte, ocho, fueron víctima de una descarga de todos los mensajes por lo que Twitter sigue investigando lo ocurrido para tomar medidas. Una de ella es que alguno de los afectados, una semana después, sigue sin poder acceder a sus cuentas por lo que esperan que en los próximos días puedan devolverlas y, sobre todo, compartir con la comunidad lo ocurrido y, más importante todavía, qué medidas van a tomar.