Lectura 4:00 min
Hola, me robaron tus datos personales… Atte. Twitter
Datos personales de 5.4 millones de usuarios de Twitter fueron robados a esa red social y ofrecidos en foros en internet de piratas informáticos por 30,000 dólares. Entre los afectados hay usuarios mexicanos.
“Tus datos personales se vieron afectados por una vulneración de seguridad reciente”, se lee en un correo enviado por Twitter el 11 de agosto a un usuario en México. Ni Twitter sabe cuántos usuarios de México fueron afectados. “El impacto fue mundial. No podemos determinar exactamente cuántas cuentas se vieron afectadas o la ubicación de los titulares de las cuentas”, me dijo un vocero de Twitter consultado sobre el incidente.
Twitter conoció en enero de 2022 un error de programación en su plataforma que permitía obtener números telefónicos y direcciones de correo electrónico de los usuarios, incluso si los usuarios habían ocultado esos datos en los controles de privacidad de Twitter. El error estuvo vigente por lo menos desde junio de 2021, cuando Twitter realizó una actualización de software.
“Hola, hoy les ofrezco datos de usuarios de Twitter obtenidos a través de una vulnerabilidad (5 millones 485,636 usuarios, para ser exactos)”, publicó un usuario en el foro Breached Forums el 21 de julio. El usuario pedía 30,000 dólares por los datos personales robados, informó el sitio de noticias sobre privacidad Restore Privacy.
“Solucionamos la vulnerabilidad poco después de que se nos informara de ella, pero luego nos enteramos de que un actor malicioso recopiló ilegalmente estos datos y se pusieron a la venta”, me dijo el vocero de Twitter.
Tres semanas después de la publicación en Breached Forums, Twitter envió este mensaje a usuarios mexicanos afectados: “Nos comunicamos contigo porque tu cuenta de Twitter se vio afectada por una vulneración de seguridad que se produjo a principios de este año. En esa oportunidad, se utilizó información de contacto privada, como un número de teléfono o una dirección de correo electrónico, para averiguar el identificador de tu cuenta en Twitter. Esto significa que si utilizas una cuenta de Twitter con seudónimo y se te puede identificar por tu número de teléfono o dirección de correo electrónico, es posible que tu cuenta ya no sea anónima”.
No es la primera vez que Twitter sufre un ataque cibernético que vulnera los datos personales de sus usuarios. Tampoco será la última. El adagio dice que en la era digital existen tres tipos de compañías: las que ya fueron hackeadas, las que serán hackeadas y las que volverán a ser hackeadas. El problema es que los más afectados son los usuarios, que ven sus derechos humanos lastimados (los derechos a la privacidad y a la protección de datos personales) y pueden ser víctimas de fraudes o suplantación y robo de identidad.
En este nuevo hackeo a Twitter, además, las afectaciones pueden vulnerar el derecho a la libertad de expresión, pues los datos robados permiten revelar la identidad de cuentas en la plataforma.
Twitter comunicó algunos consejos a los usuarios afectados por la filtración de su información personal, como evitar el uso de “un número de teléfono o una dirección de correo electrónico de conocimiento público”, sugirió cambiar la dirección de correo electrónico y usar la doble autentificación para acceder al servicio (como contraseña y un mensaje de texto al teléfono). Este último, un consejo inútil, porque la extracción se hizo directamente de las bases de datos de Twitter.
Desde acá, yo le paso un consejo a Twitter: no recabes información que no necesitas.
En la lógica del capitalismo de la vigilancia, las corporaciones solicitan más datos de los necesarios para operar sus servicios. Esos datos extra permiten a las compañías completar los perfiles de sus usuarios y categorizarlos para explotación y reventa. Un correo electrónico puede revelar otros servicios digitales utilizados por el usuario o la organización para la que trabaja. Un número telefónico puede revelar la localidad de residencia. Combinados, las inferencias pueden ser mayores y más precisas.
En protección de datos personales, menos es más.