La brecha de datos de Twitter podría tener consecuencias para sus finanzas y operaciones

Desde que Elon Musk compró Twitter a finales de octubre, la compañía está viviendo tiempos llenos de polémica; desde despidos masivos –hasta 3.500 empleados– y renuncias hasta daños en la reputación causados por los tuits del propio magnate. Pero ahora, la creciente preocupación por la brecha de datos que ha causado un fallo está a punto de hacer que la red social caiga aún más, a menos que se tomen medidas rápidas.

Incluso cuando los reguladores europeos comienzan a investigar lo que parece ser una violación masiva, con hasta 200 millones de cuentas afectadas, la compañía, ni por extensión Musk, no ha realizado ningún comentario oficial. Los expertos estiman que, a menos que Twitter se adelante, informe a los distintos organismos del hecho y notifique a los usuarios qué partes de su información han sido expuestas, podría sufrir graves consecuencias financieras y operativas.

Cronología de las brechas de seguridad de la plataforma

El quebradero de cabeza sobre la seguridad comenzó en julio cuando un ciberdelincuente puso a la venta datos vulnerados que contenían números de teléfono y direcciones de correo electrónico de 5,4 millones de cuentas. Este exigió el pago de 30.000 dólares por los datos y aseguró haberlos robado a través de una vulnerabilidad revelada el 1 de enero de 2022 y que, aparentemente, fue solucionada el 13 de ese mismo mes. La vulnerabilidad afectó a los usuarios de Android y permitió que cualquier persona sin autenticación obtuviera una ID de Twitter para cualquier usuario al enviar un número de teléfono o un identificador de mail, incluso aunque el usuario prohibiera esta acción en la configuración de privacidad. En este caso, la firma confirmó el hecho e informó a los usuarios afectados.

No obstante, estos datos se publicaron de forma gratuita el pasado 27 de noviembre. Aunque, para ese mes, también circulaba de forma privada otra base de datos con detalles de 17 millones de usuarios. A finales de diciembre, Alon Gal, cofundador y director de tecnología de la israelí especializada en inteligencia Hudson Rock, vio en un foro una publicación de un usuario llamado Ryushi que puso a la venta los correos electrónicos y números de teléfono de 400 millones de usuarios. Aunque, como había duplicados, la brecha se estima en más de 200 millones de cuentas.

Peligro para celebridades y periodistas

Durante los últimos días de 2022 y los primeros de este año, las cuentas de celebridades de alto perfil en Reino Unido, India y Australia fueron pirateadas. Entre los perfiles se encontraban el comentarista de televisión Piers Morgan, la secretaria de educación del Reino Unido, Gillian Keegan y el cantante Ed Sheeran, entre otros.

Aunque es posible que estas acciones no estén relacionadas con los archivos de muestra publicados por Ryushi, Gal cree que están conectados: “Es probable que esto no sea una coincidencia”.

Los expertos dicen que Twitter debería aclararse

A medida que continúan publicándose informes contradictorios sobre la brecha de la compañía, los expertos en ciberseguridad piden a Musk que aclare la confusión. “Twitter no ha reconocido este incidente y es una pena”, añade Gal. “Debería hacerlo lo antes posible para que los usuarios estén atentos a los riesgos que enfrentan. Les insto a cambiar sus contraseñas y desconfiar de intentos de phishing”.

Los reguladores europeos utilizan definiciones más amplias

Incluso si Twitter se sintiera cómoda con la naturaleza 'blanda' actual de la violación de datos según las leyes estatales de Estados Unidos, las regulaciones europeas podrían infligir su mayor castigo. Las autoridades europeas tienen una gama más amplia de factores  para determinar si Twitter enfrenta responsabilidades relacionadas con la violación y en qué medida. El 23 de diciembre de 2022, incluso antes de que llegara la noticia de que potencialmente se podrían haber violado los datos de cientos de millones de usuarios de Twitter, la Comisión de Protección de Datos de Irlanda (DPC) inició una investigación sobre el incidente inicial que involucró a 5,4 millones de usuarios de Twitter. El DPC dijo que Twitter había proporcionado varias respuestas a sus consultas y cree que la empresa puede haber violado una o más de las disposiciones del Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) de la Unión Europea (UE).

Amy Worley, directora general y consejera general asociada de Berkeley Research, asegura que "GDPR tiene requisitos muy estrictos para informar sobre violaciones de datos. También tiene una definición muy amplia de lo que es una violación de datos. Por lo tanto, es mucho más amplio que lo que existe bajo la mayoría de los estatutos de los Estados Unidos". Worley dice que "no se limita a los daños económicos de la forma en que se han interpretado las leyes de los EE. UU. Por lo tanto, la privacidad es un derecho fundamental en la UE y está vinculada a los derechos y libertades de los interesados".

Según GDPR, las empresas tienen 72 horas para informar una violación de datos y deben informar cambios significativos en sus evaluaciones de cuántos usuarios se han visto afectados. "Si creen que una empresa simplemente ignora o se burla de la ley, es probable que se meta en problemas por eso", dice Worley. Las multas pueden alcanzar hasta el 4% de los ingresos globales de la empresa, aunque ese nivel de multa es raro.

Quizás lo que debería ser aún más preocupante para Twitter es que la Unión Europea podría obligar a Twitter a cerrar efectivamente sus operaciones en Europa si surge evidencia de una violación flagrante. "La Unión Europea también puede revocar su capacidad para procesar datos de residentes europeos", dice Worley. "También tienen la capacidad de detener las transferencias internacionales de datos de Internet. Y tienen la capacidad de decir: 'No tiene permitido procesar los datos personales de los residentes europeos'".