Ayer, coincidiendo con el [20º aniversario del SMS](http://alt1040.com/2012/12/20-anos-sms), comentamos que este servicio, además de popularizar el uso de la telefonía móvil digital en todo el mundo, había sido capaz de marcar servicios como [Twitter](http://alt1040.com/tag/twitter) donde sus 140 caracteres no eran algo casual y, precisamente, coincidían con el tamaño de un mensaje de texto. Si bien con el paso de los años (y el aumento en la penetración de las conexiones móviles de datos y los *smartphones*) es bastante raro enviar *tweets* a través de SMS, sigue siendo una vía de acceso válida que, por ejemplo, se utiliza en mercados en los que los *featured phones* siguen siendo mayoritarios. Precisamente, esta alternativa de acceso a [**Twitter parece presentar una vulnerabilidad**](http://news.cnet.com/8301-1009_3-57557050-83/researcher-discovers-sms-bug-in-twitter-facebook/?) que, según un experto en la materia, podría permitir a **un tercero suplantar la identidad** de usuarios que tengan habilitada esta opción para realizar publicaciones en el servicio.

El encargado de hacer pública esta vulnerabilidad ha sido **Jonathan Rudenberg**, un experto en seguridad que, [a través de su blog](http://titanous.com/posts/twitter-facebook-venmo-sms-spoofing), ha llamado la atención de los usuarios tras reportar el problema a Twitter hace varios meses y no haber obtenido respuesta ni mucho menos haber visto una solución al problema (más allá de la petición de Twitter de no hacer pública la vulnerabilidad). Según parece, Facebook también presentaba este problema con el envío de mensajes mediante SMS pero tras el reporte en agosto, la red social de Mark Zuckerberg solventó el problema la semana pasada.

¿Y cuál es el problema? ¿En qué consiste la vulnerabilidad? Esta vulnerabilidad, según comentaba Rudenberg en su blog, afecta únicamente a aquellos usuarios que tienen activada la publicación de *tweets* a través de SMS (con los que también pueden, incluso, manejar la configuración del perfil). Para activar esta opción, el usuario debe consignar su número de teléfono móvil y, teóricamente, Twitter procesará únicamente peticiones procedentes de dicho número, presentando así un escenario que en apariencia es seguro. Sin embargo, según este experto en seguridad, un tercero con no muy buenas intenciones podría **enviar mensajes usando una pasarela intermedia y suplantar nuestro número de teléfono**, controlando así nuestra cuenta de manera remota.

En el caso de no haber habilitado la opción de envío de *tweets* mediante SMS no hay nada que temer pero, si la tienes habilitada en tu cuenta, quizás sea interesante poner alguna medida para **minimizar los riesgos**. Por un lado, la solución más simple es la de deshabilitar esta opción mientras Twitter la solventa (quizás sea la solución más radical) y, por otro lado, en algunos países es posible activar un nivel más de seguridad en el que, además de enviar el SMS, debemos adjuntar en éste un código de seguridad que certifica el *tweet* y garantiza la autoría pero, desgraciadamente, no es una opción que esté disponible en todos los países (en Estados Unidos, por ejemplo, no es algo que se ofrezca a los usuarios).

Lógicamente, el escenario de riesgo es pequeño puesto que el atacante debe conocer nuestro número de teléfono y saber que enviamos *tweets* a través del SMS (algo que no es muy habitual) pero, realmente, llama la atención que tras 3 meses, el problema siga estando presente.

Ahora en Hipertextual

Suscríbete gratis a Hipertextual

Estamos más ocupados que nunca y hay demasiada información, lo sabemos. Déjanos ayudarte. Enviaremos todas las mañanas un correo electrócnio con las historias y artículos que realmente importan de la tecnología, ciencia y cultura digital.