Queremos ponerte al tanto de una vulnerabilidad que permitió que alguien introdujera un número de teléfono o una dirección de correo electrónico en el flujo de inicio de sesión en un intento de averiguar si dicha información estaba vinculada a una cuenta de Twitter existente y, en tal caso, cuál era la cuenta específica. Nos tomamos muy en serio nuestra responsabilidad de proteger tu privacidad, y es desafortunado que haya ocurrido algo así. Si bien no es necesario que hagas nada respecto de este asunto específico, queremos compartir contigo más información sobre lo que sucedió, las medidas que tomamos y algunas prácticas recomendadas para mantener tu cuenta segura.

Qué sucedió

En enero de 2022, recibimos un informe a través de nuestro programa de recompensas por la detección de errores sobre una vulnerabilidad en los sistemas de Twitter. Como consecuencia de la vulnerabilidad, si alguien enviaba una dirección de correo electrónico o un número de teléfono a los sistemas de Twitter, los sistemas de Twitter le comunicaban a la persona con qué cuenta de Twitter, si la había, estaban asociados la dirección de correo electrónico o el número de teléfono enviados. Este error se originó en una actualización de nuestro código en junio de 2021. Cuando supimos del error, lo investigamos y lo corregimos de inmediato. En ese momento, nada nos sugería que alguien hubiese sacado provecho de la vulnerabilidad. 

En julio de 2022, supimos a través de un informe de prensa que alguien posiblemente había aprovechado esta situación y estaba ofreciendo vender la información recopilada. Tras revisar una muestra de los datos disponibles para la venta, confirmamos que un agente malintencionado había aprovechado el error antes de que se corrigiera.

Nos pondremos en contacto directamente con los titulares de las cuentas confirmadas que se vieron afectadas por este problema. Publicamos esta actualización porque no podemos confirmar todas las cuentas que podrían haberse visto afectadas, y nos preocupan especialmente las personas con cuentas bajo seudónimo que podrían ser atacadas por agentes estatales o de otra índole.

Cómo proteger tu cuenta

Si utilizas una cuenta de Twitter bajo seudónimo, somos conscientes de los riesgos que puede implicar un incidente como este y lamentamos profundamente que haya ocurrido algo así. Para mantener tu identidad lo más oculta posible, te recomendamos no añadir un número de teléfono o una dirección de correo electrónico de conocimiento público a tu cuenta de Twitter.

Si bien no se reveló ninguna contraseña, animamos a todas las personas que usan Twitter a activar la autenticación de dos fases utilizando aplicaciones de autenticación o llaves de seguridad hardware para proteger tu cuenta de los inicios de sesión no autorizados. Si te preocupa la seguridad de tu cuenta o tienes alguna pregunta sobre cómo protegemos tu información personal, puedes comunicarte con nuestra Oficina de protección de datosa través de este formulario. 

Para obtener más información sobre cómo informar acerca de una vulnerabilidad de la seguridad, ve a nuestro Centro de ayuda, y para obtener más información sobre nuestras medidas para proteger a Twitter de los intentos de manipulación de la plataforma y de las actividades avaladas por el estado, consulta el Informe de transparencia de Twitter.