'Hackean' la cuenta del presidente ejecutivo de Twitter Jack Dorsey

sept. 02, 2019

La cuenta en Twitter de Jack Dorsey, presidente ejecutivo de Twitter, fue pirateada este viernes, y puede haber sido víctima de una vulnerabilidad sobre la que Twitter había sido advertido anteriormente y que negó repetidamente que era un problema.

Durante aproximadamente 20 minutos el viernes por la tarde, la cuenta de Dorsey tuiteó una serie de tuits racistas y ofensivos. Twitter rápidamente reconoció que alguien había pirateado la cuenta.

Los tuits parecen haber sido enviados no desde la cuenta real de Dorsey, sino por el pirata informático o los piratas informáticos que convencieron a los sistemas de Twitter de que tenían su teléfono y que enviaban mensajes de texto a su cuenta. Es probable que el pirata informático o los piratas informáticos ni siquiera hubieran necesitado la contraseña de Dorsey, o se la hubieran solicitado.

Los tuits fueron etiquetados como publicados por Cloudhopper, una compañía de SMS que Twitter compró en 2010, cuando algunos usuarios usaban regularmente mensajes de texto para enviar tuits. Hoy, si se envía un texto al 40404 desde un número de teléfono de EE.UU. asociado con una cuenta de Twitter, la cuenta publicará el texto y se etiquetará como proveniente de Cloudhopper.

Los piratas informáticos podrían utilizar este método para enviar tuits desde otras cuentas pertenecientes a figuras prominentes, incluidos los funcionarios electos estadounidenses que son usuarios frecuentes de Twitter, como el presidente Trump, siempre y cuando los objetivos no hayan optado por no tuitear por mensaje de texto.

Este método de tuitear puede haber parecido una vez una característica útil e inofensiva. Pero un número de teléfono se considera un identificador mucho menos seguro hoy que en 2010. Los últimos años han visto el surgimiento del “sim jacking”, en el que un hacker convencerá a un proveedor de telefonía de que ha perdido su tarjeta SIM y solicite que ese número se transfiera a una nueva tarjeta.

En un tuit de seguimiento el viernes por la noche, Twitter insinuó que esto fue lo que sucedió, escribiendo:

“El número de teléfono asociado con la cuenta se vio comprometido debido a una supervisión de seguridad por parte del proveedor de servicios móviles. Esto permitió que una persona no autorizada redactara y enviara tuits a través de mensajes de texto desde el número de teléfono. Ese problema ya está resuelto”.

Los números de teléfono también se pueden imitar sin “sim jacking”. Los investigadores de seguridad han podido falsificar previamente un número de teléfono asociado con una cuenta y convencer a Twitter de que les permita publicar tuits de esa manera. Error que ya se había resuelto, según Twitter.

Twitter se negó a comentar más allá de sus tuits sobre Dorsey.

Fuente: CNN Español