Twitter cuenta con un sistema que permite utilizar la red social –con algunas limitaciones- sin tener la aplicación móvil instalada. Sencillamente, interactuando por SMS con la red social. Y de esta manera se pueden hacer decenas de cosas como publicar tweets, responder, escribir con menciones o mandar mensajes directos, así como hacer retweet y un largo etcétera. A priori, esto solo se debería poder hacer con tu número de teléfono, pero ¿y si alguien puede tener también tu número de teléfono?

Insinia Security, un grupo de expertos informáticos dedicado a la seguridad, ha encontrado un grave fallo de seguridad en Twitter. Y consiste, precisamente, en aprovechar un fallo del sistema de SMS que comentábamos anteriormente. Si alguien sabe tu número de teléfono –y no es difícil conseguirlo-, puede hace hacer creer a la red social que le está enviando mensajes SMS desde ese número de teléfono. Es una forma de suplantación de identidad, y el problema está en que Twitter acepta los mensajes como si fueran realmente del número de teléfono atacado. Todo esto, cómo no, sin que la víctima perciba ningún tipo de problema.

Twitter no hace nada para resolver este fallo de seguridad que permite la suplantación de identidad con relativa facilidad

Según describen desde la organización dedicada a la seguridad informática, Twitter no ha hecho nada por resolver el problema de seguridad de la red social. Y eso que llevan avisando al respecto desde el pasado mes de marzo. No obstante, fue en noviembre cuando, usando esta guía, se dieron cuenta de que el problema era mucho más importante de lo que parecía antes. Y señalan que la solución sería tan ‘sencilla’ como que Twitter desvincule el número de teléfono de los usuarios –que se usa para la autenticación de doble factor-, o que elimine por completo la función de control por SMS.

En los últimos meses se ha popularizado un tipo de ataque que consiste en conseguir un duplicado de tarjeta de un usuario y atacar cualquier tipo de servicio con autenticación en dos pasos. Por eso, hace tiempo que se recomienda a las plataformas online usar otro soporte para el 2FA como, por ejemplo, el correo electrónico o una app que genere un código de uso único en el teléfono inteligente.