Twitter tiene una vulnerabilidad en el envío de tweets vía SMS

Ayer, coincidiendo con el 20º aniversario del SMS, comentamos que este servicio, además de popularizar el uso de la telefonía móvil digital en todo el mundo, había sido capaz de marcar servicios como Twitter donde sus 140 caracteres no eran algo casual y, precisamente, coincidían con el tamaño de un mensaje de texto. Si bien con el paso de los años (y el aumento en la penetración de las conexiones móviles de datos y los smartphones) es bastante raro enviar tweets a través de SMS, sigue siendo una vía de acceso válida que, por ejemplo, se utiliza en mercados en los que los featured phones siguen siendo mayoritarios. Precisamente, esta alternativa de acceso a Twitter parece presentar una vulnerabilidad que, según un experto en la materia, podría permitir a un tercero suplantar la identidad de usuarios que tengan habilitada esta opción para realizar publicaciones en el servicio.

El encargado de hacer pública esta vulnerabilidad ha sido Jonathan Rudenberg, un experto en seguridad que, a través de su blog, ha llamado la atención de los usuarios tras reportar el problema a Twitter hace varios meses y no haber obtenido respuesta ni mucho menos haber visto una solución al problema (más allá de la petición de Twitter de no hacer pública la vulnerabilidad). Según parece, Facebook también presentaba este problema con el envío de mensajes mediante SMS pero tras el reporte en agosto, la red social de Mark Zuckerberg solventó el problema la semana pasada.

¿Y cuál es el problema? ¿En qué consiste la vulnerabilidad? Esta vulnerabilidad, según comentaba Rudenberg en su blog, afecta únicamente a aquellos usuarios que tienen activada la publicación de tweets a través de SMS (con los que también pueden, incluso, manejar la configuración del perfil). Para activar esta opción, el usuario debe consignar su número de teléfono móvil y, teóricamente, Twitter procesará únicamente peticiones procedentes de dicho número, presentando así un escenario que en apariencia es seguro. Sin embargo, según este experto en seguridad, un tercero con no muy buenas intenciones podría enviar mensajes usando una pasarela intermedia y suplantar nuestro número de teléfono, controlando así nuestra cuenta de manera remota.

En el caso de no haber habilitado la opción de envío de tweets mediante SMS no hay nada que temer pero, si la tienes habilitada en tu cuenta, quizás sea interesante poner alguna medida para minimizar los riesgos. Por un lado, la solución más simple es la de deshabilitar esta opción mientras Twitter la solventa (quizás sea la solución más radical) y, por otro lado, en algunos países es posible activar un nivel más de seguridad en el que, además de enviar el SMS, debemos adjuntar en éste un código de seguridad que certifica el tweet y garantiza la autoría pero, desgraciadamente, no es una opción que esté disponible en todos los países (en Estados Unidos, por ejemplo, no es algo que se ofrezca a los usuarios).

Lógicamente, el escenario de riesgo es pequeño puesto que el atacante debe conocer nuestro número de teléfono y saber que enviamos tweets a través del SMS (algo que no es muy habitual) pero, realmente, llama la atención que tras 3 meses, el problema siga estando presente.