Habilidad/Shutterstock
Mientras navegaba por la web oscura esta semana, encontré los datos de mi cuenta de Twitter.
Un sitio web oscuro publicó este mes un conjunto de datos de 200 millones de perfiles de Twitter. Ahí encontré los datos de mi cuenta. Sé que mis datos no habían sido revelados en versiones anteriores porque lo había comprobado en ese momento. En mi negocio, me tomo en serio la seguridad.
El miércoles, Twitter dijo que “no hay evidencia de que los datos vendidos recientemente hayan sido obtenidos por Explotando una vulnerabilidad de los sistemas de Twitter“.
La compañía sugiere que los datos de cuentas recientemente expuestos en diciembre y enero (sí, esta es la segunda publicación reciente) son “probablemente una colección de datos que ya están disponibles públicamente en línea a través de diferentes fuentes”.
Claro, Twitter ya admitió que hubo una filtración de datos de usuarios, de la cual se informó en noviembre de 2022. Pero, según Twitter, esos eran todos datos de aproximadamente 5,4 millones de cuentas de usuarios que habían quedado expuestas en agosto. Todavía son 5,4 millones de más.
Esos datos parecen provenir de un hack de 2021. En ese ataque, un pirata informático abusó de una interfaz de programación de aplicaciones (API). Con él, se conectaban direcciones de correo electrónico a perfiles de Twitter. Los resultados incluyen datos del perfil público de Twitter, como nombres, nombres de usuario y recuentos de seguidores.
También: Los piratas informáticos están utilizando este viejo truco para eludir las precauciones de seguridad
Hasta ahora, relativamente inofensivo. Pero luego, el atacante usó otra API para extraer estos datos y los usó para extraer direcciones de correo electrónico y números de teléfono privados. Los datos resultantes de aproximadamente 221.608.279 usuarios se han publicado como un archivo RAR. Dentro de él, encontrará media docena de archivos de texto que suman hasta 59 GB de datos de usuario.
Según Troy Hunt, fundador de Have I Been Pwned (HIBP), se han revelado 211.524.284 direcciones de correo electrónico únicas. Y ahora, ya sea por esa filtración conocida o no, la mía también. American Express y Experian IdentityWorks se han puesto en contacto conmigo para decirme que mis datos han sido revelados.
¿Cómo puede saber si la información de su cuenta ha sido revelada? Ejecute su dirección de correo electrónico a través de Have I Been Pwned. Si ve el mensaje a continuación, significa que sus datos han sido expuestos.
También: Cómo proteger tu cuenta de Twitter sin autenticación de dos factores
Si ve este mensaje en Have I Been Pwned, bueno, sí, sí, lo ha sido.
Captura de pantalla de Steven J. Vaughan-Nichols/
Qué debes hacer si tus datos de Twitter se vieron comprometidos
Entonces, ¿qué puedes hacer al respecto si tus datos de Twitter también están disponibles? Bueno, como me dijo American Express, tenga aún más cuidado de lo habitual con posibles ataques de phishing y spam. Por ejemplo, si recibe un mensaje de correo electrónico que le promete un excelente seguro para mascotas para su perro Spot y ha compartido muchas fotos de Spot en Twitter, lea detenidamente la nota antes de responder. En particular, observe atentamente las URL de estos mensajes.
La gente utilizará sus datos personales en su contra. Es así de simple. Es así de feo.
Si cree que ya ha sido pirateado, revise su computadora o teléfono inteligente con un programa antivirus de alta calidad. En realidad, hazlo de todos modos. No es momento de correr riesgos.
También debes recordar que además de la información “pública”, ahora también puede estar en juego información semiprivada como tu fecha de nacimiento, número de teléfono, dirección, ciudad natal y esa siempre popular pregunta de “seguridad”, el apellido de soltera de tu madre.
Eso significa que es hora de revisar sus cuentas más importantes y cambiar sus preguntas de seguridad. Mientras lo hace, active la autenticación de dos factores (2FA) en todos sus servicios. Eso es simplemente inteligente, ya sea que hayas sido pirateado esta vez o no.
En particular, si todavía estás en Twitter, activa 2FA. Sin embargo, no utilice los mensajes de texto, también conocidos como SMS, como segundo factor. El microservicio de Twitter que entregaba mensajes SMS falló en noviembre y todavía está funcionando mal. En su lugar, cambie su método 2FA de mensajes de texto a correo electrónico, una aplicación de autenticación o una llave de seguridad física, como una YubiKey.
También deberías, como recomendé anteriormente, dejar de usar la autenticación de Twitter para iniciar sesión en otros sitios web. Eso es sólo buscar problemas.
Finalmente, he estado advirtiendo sobre grandes problemas por parte de Twitter desde que Musk asumió el control. Las filtraciones de datos de cuentas como esta son una gran señal de alerta. Considere eliminar su cuenta de Twitter y cambiar a otra red social más confiable.