Tu cuenta de Twitter está en peligro si no cambias la contraseña ahora

Twitter ha lanzado hace algunas horas un comunicado para avisar a más de 330 millones de usuarios de un fallo de seguridad en sus sistemas informáticos. Se nos urge a muchos a cambiar la contraseña de Twitter inmediatamente para mantener la seguridad, tras haberse almacenado millones de contraseñas en texto plano en sus servidores.

No se tiene constancia de que las credenciales hayan llegado a abandonar los servidores de Twitter o que hayan sido comprometidos, pero la recomendación que lanzan es clara:

Compartimos esta información para ayudar a la gente a tomar una decisión fundamentada sobre la seguridad de sus cuentas. No teníamos por qué, pero creemos que es lo correcto.

Bien Twitter, honestamente creo que sí teníais por qué, por ética y por evitar mala prensa si esto sale a la palestra por otros medios distintos a vosotros. Eso, por no hablar de que habríais estado obligados más allá del 25 de Mayo, fecha en que entra en vigor la normativa que dicta la RGPD.

Descripción del problema

Según ha publicado la empresa en un comunicado posterior, parece tratarse de una mala implementación del protocolo de cifrado con bcrypt:

Ocultamos las contraseñas a través de un proceso de hash que utiliza una función conocida como bcrypt, mediante lo cual la verdadera contraseña se reemplaza por un conjunto aleatorio de números y letras que se guardan en el sistema de Twitter. Esto permite que nuestros sistemas validen las credenciales de tu cuenta sin revelar tu contraseña. Este es un estándar de la industria.

Debido a un error, las contraseñas se escribían en un registro interno antes de que se completara el proceso de hash. Nosotros mismos descubrimos este error, eliminamos las contraseñas y comenzamos a implementar planes para evitar que este error se vuelva a producir.

Contraseñas de Twitter almacenadas en texto plano durante meses

A continuación podéis ver un aviso recibido en mi teléfono la pasada madrugada. He sido uno de los afortunados, aunque desconozco si este mensaje lo han llegado a enviar a todos los usuarios (quizá ni ellos sepan realmente el alcance de las credenciales almacenadas en texto plano).

No se ha publicado el número total de cuentas de Twitter afectadas, pero Reuters cita fuentes solventes que aseguran que el número es sustancial. Una cosa han dejado clara, y es que las credenciales han estado almacenadas en texto plano (sin cifrar) durante varios meses.

Más de 330 millones de cuentas han sido afectadas, según datos de la propia Twitter. También dicen que en principio no hay de qué preocuparse:

Recientemente identificamos un problema que provocaba el almacenamiento de credenciales sin enmascarar en un log interno. Hemos solucionado el error y nuestras investigaciones no han mostrado signos de uso indebido o filtración por terceras partes.

Se está investigando todavía a nivel interno para asegurarse de que ningún dato de usuario pueda haberse usado con fines delictivos. Sin embargo recomiendan, como ya dijimos al comienzo del artículo, modificar las credenciales de nuestra cuenta de Twitter.

Cambia tu contraseña de Twitter y verifica su nivel de seguridad

Contraseñas

Para proteger la cuenta de Twitter en el caso que nos ocupa, lo que tenemos que hacer es abrir la configuración desde el menú superior derecho y acceder al área de Contraseña:

Allí, escribiremos la actual y estableceremos una nueva credencial segura y distinta de la anterior. Después guardaremos los cambios.

Aplicaciones conectadas a Twitter

Es muy probable que tengamos además aplicaciones o sitios web de terceros conectados a nuestra cuenta de Twitter mediante OAuth, un protocolo que permite un inicio de sesión único en varios sitios conectados a un sitio principal.

Esto lo veremos en el apartado Aplicaciones del menú Configuración:

Si en su momento nos registramos en dichas webs directa y exclusivamente a través de Twitter, el cambio de contraseña anterior valdría para proteger dichas cuentas.

Pero también es posible que antes de haber conectado nuestra cuenta de Twitter con la aplicación de turno, nos hubiéramos registrado en ella de la forma tradicional, estableciendo una contraseña. En estos casos, suponiendo que las credenciales sean similares a las de Twitter, deberíamos modificarlas inmediatamente.

En cualquier caso y por higiene de seguridad deberíamos directamente revocar el acceso a Twitter para todas las cuentas que no necesitemos, además de verificar y/o cambiar las contraseñas en cada una de ellas.

Verificación en dos pasos para Twitter

Antes de concluir os recomiendo dar de alta el servicio de autenticación en dos pasos en vuestra cuenta de Twitter. Esto os ayudará en gran manera a controlar los inicios de sesión, porque cada vez que alguien introduzca una contraseña asociada a vuestra cuenta, recibiréis un aviso en vuestro teléfono vía SMS.

Sin ese segundo factor a introducir, no se podrá iniciar sesión. Más sobre la autenticación en dos pasos o factores.

Conclusiones

La noticia de hoy nos demuestra la importancia de mantener contraseñas únicas para cada uno de nuestros servicios online y el cuidado que debemos tener al conectar cuentas desde Twitter o Facebook. Las acciones de Twitter ya están pagando el descuido (como es lógico) pero para los usuarios el problema puede ser incluso peor si no se toman medidas.