Vulnerabilidad descubierta en Twitter y Facebook al activar el envío y la recepción de actualizaciones vía SMS

Mira que siempre recomendamos a todo el mundo que no introduzca su número de teléfono móvil alegremente, salvo que sea en un sitio de legitimidad confirmada y el dato sea absolutamente necesario para algo, como por ejemplo, para realizar una compra online. Y especialmente, tampoco me digáis por qué, recomendamos no introducirlo ni en Twitter ni en Facebook para poder actualizar el estado vía SMS. El porqué hasta ahora era muy sencillo: bastantes datos tienen ya nuestros como para ir dándoles “bonus track”, es decir, extras. Pero a partir de hoy, a la vista de la vulnerabilidad publicada, ya sí que afirmamos que no es saludable hacerlo, aún a pesar de que a algunos países no les afecta.

Descubrimos vía Jonathan Rudenberg, investigador de seguridad, que los usuarios de Twitter que tienen activada la opción de enviar o recibir actualizaciones vía SMS son vulnerables a un ataque y que cualquiera podría publicar cualquier cosa en su nombre. El atacante solo necesita saber el número de teléfono móvil asociado con la cuenta de Twitter, dato fácilmente averiguable si conocemos a la persona en cuestión. Nos cuenta que, como en el caso del email, el origen de una dirección de un mensaje SMS no puede ser verificada. Así que muchos gateways SMS permiten configurar la dirección origen del envío del mensaje con un identificador arbitrario, incluyendo el número de teléfono de cualquiera otra persona.

Pero este tema no afecta solo a Twitter. Facebook también tenía abierto este agujero de seguridad, aunque tras la notificación por parte del investigador lo han solucionado. Y además de Twitter, Venmo, otra red social muy conocida internacionalmente, también tiene el mismo problema.

El origen del problema llega cuando un usuario tiene un número de teléfono móvil asociado a su cuenta en las redes sociales mencionadas y no tienen un código PIN de acceso a la SIM, cosa que sucede en algunos países. De esta manera, cualquier atacante podría aprovecharse y utilizar cualquiera de los comandos SMS permitidos en Twitter, como postear en su nombre o modificar la información de perfil y la foto.

En el caso de Twitter, y mientras no elimine la posibilidad de publicar vía SMS sin usar códigos cortos, los usuarios pueden activar el código PIN (si está disponible en la región) o desactivar la posibilidad de envío de mensajes vía SMS. Twitter tiene una opción que permite establecer un tipo de código PIN requerido cada vez que se envía un mensaje, y que consiste en un código alfanumérico de cuatro códigos. El activar esta característica ayudaría sin duda a mitigar el problema, pero esta no está disponible en todos los países.

Las vulnerabilidades han sido reportadas tanto a Twitter como a Facebook o Venmo el pasado mes de agosto, pero solo Facebook ha confirmado haber solucionado el problema tres meses después de su reporte. Twitter, sin embargo, sigue sin responder, así que el investigador les ha informado de que iba a hacer pública la vulnerabilidad. Entendemos que ahora sí se pondrán manos a la obra (y esperamos que lo hagan).

Sinceramente, no sé si en el Vaticano existe esta vulnerabilidad, pero si la hay, más vale que el Papa, que se abrió ayer cuenta en Twitter con gran revuelo mediático, no haya activado la opción de SMS (o su equipo de comunicación online), porque se puede armar una muy buena si alguien accede a su cuenta y publica algún mensaje no conveniente en algún sentido.

Yolanda Ruiz Hervás