Al usar Twitter por SMS se arriesga la seguridad de la cuenta



De acuerdo con el investigador Jonathan Rudenberg, los usuarios que envían sus mensajes cortos a la red social Twitter a través de SMS corren riesgo de que su cuenta pueda ser alterada, debido a que al ocupar esa función, la identidad del remitente no es comprobada, y la cuenta queda expuesta.

Tal error podría ser perjudicial para quienes acostumbran seguir usando Twitter cuando no se tiene una conexión a la red, y utilizan los SMS en su lugar. Como la vinculación del teléfono al servicio no incluye el uso de un PIN para identificarse, cualquier atacante que conozca el número telefónico asociado al perfil de Twitter puede tener acceso al uso del servicio en nombre de esa persona.

La característica se puede desactivar desde la configuración de cuenta en Twitter

Así, un intruso podría emitir tuits o realizar cambios a la cuenta al suplantar el número telefónico. Este defecto se aprovecha de una debilidad que facilita la falsificación de identidad a través de mensajes SMS y que Twitter no ha corregido, a pesar de que supuestamente el propio Rudenberg se lo advirtió.

Según Jonathan, “los usuarios de Twitter con SMS activado son vulnerables a un ataque que permite a cualquiera publicar en su cuenta…el atacante sólo necesita conocer el número móvil asociado a la cuenta de Twitter de su objetivo. Los mensajes se pueden enviar a Twitter con el número fuente suplantado”.

Así como con Twitter, Rudenbeg encontró una falla similar en Facebook y otro servicio llamado Venmo; después de ser notificadas, esas empresas repararon la falla. Como lo ha manifestado el investigador en su blog, él mismo informó a Twitter desde agosto de 2012 sobre el asunto y aún no se han tomado las medidas necesarias para corregirlo.

Rudenberg recomienda que “hasta que Twitter remueva la habilidad de publicar a través de números que no son de código corto, los usuarios deberían habilitar los códigos PIN (si están disponibles en su región) o desactivar la característica de mensajería móvil”.

Referencia: Blog de Jonathan Rudenberg

0 comentarios: