¿Quien está leyendo tus DMs en Twitter?
Por Tom Scott
Toda aplicación que autorizas tiene casi el control completo sobre tu cuenta – y eso incluye tus datos privados.Cualquiera con acceso a tus aplicaciones en Twitter podría estar leyendo tus mensajes privados. Fotografía: Sarah Lee para The Guardian.
«¿Que vamos a hacer,» preguntó recientemente Bill Thompson, «cuando el próximo tesoro de WikiLeaks sea cada DM [mensaje directo] de Twitter o una transcripción de chat por Facebook?»
Eso es improbable que pase, por supuesto. El equipo de Julian Assange están más preocupados con los asuntos internacionales que molestar a millones de usuarios casuales de Twitter. Si no estás en el ojo del público, hay posibilidades que no seas lo suficientemente notorio para Wikileaks.
Por supuesto, aún quedan muchos tipos que armarían un caos en los barrios si pudieran, solo para divertirse. Yo estoy un poco más cerca de ese tipo que la mayoría – porque yo puedo leer tus mensajes privados de Twitter.
Bueno, quizás no los tuyos especificamente. Pero hay muchas probabilidades que – si yo quisiera – yo podría leer los mensajes directos de muchas personas que leerán esto.
Unos pocos meses atrás, después que Twitter implementó el sistema de autorización OAuth, me contrataron para armar una aplicación juguete para Twitter – una de esas paginitas que te ofrecen estadisticas un poco interesantes sobre tus tweets, siempre y cuando te conectes con tu cuenta de Twitter. Por supuesto, después te invita a a twittear esa estadistica a tus amigos – junto a un enlance y un pequeño mensaje publicitario.
El problema está en que el proceso de autorización de Twitter no diferencia entre juguetes pequeños como ese y grandes aplicaciones como TweetDeck que manejan toda tu cuenta. Los juguetes solo necesitan leer los mensajes públicos y quizás twittear una vez, pero usualmente piden, y se le dá, permisos de «lectura y escritura», lo cual significa que pueden hacer cada acción que Twitter provee a un usuario autorizado: el poder de cambiar la foto del perfil, seguir y bloquear usuarios, y – crucialmente – leer mensajes directos. El hecho de que cambies tu contraseña tampoco los detiene; necesitas revocar su acceso explicitamente.
Entonces si yo quisiera, podría usar las autorizaciones concedidas a la aplicación juguete para descargar los mensajes directos de todos los miles de usuarios. No lo voy a hacer, por supuesto – es ilegal y poco ético – pero la curiosidad es poderosa. Imaginá una página web que simplemente pregunte «¿Cual casilla de entrada te gustaría leer?». ¿Confiarías que lo usen todas las personas que conoces? ¿Que tal todas las personas que ellos conocen? ¿Que hay si el ataque ya fue hecho por alguien más, y estuvieran activamente filtrando esos mensajes con el mundo? – ¿podrías resistir la tentación de ver las casillas de entradas de tus amigos si el daño ya fue hecho?
Usar los permisos de las aplicaciones existentes no es el único ataque potencial. Las aplicaciones juguetes con medidas pobres de seguridad podrían proveer una puerta trasera hacia las cuentas de la gente en Twitter sin el conocimiento de sus creadores. Y aquellos que piensen en espionaje podrían crear una aplicación que trabaje como se la promociona hasta que vea a un usuario particular; las casillas de entrada de millones de personas puede no ser interesante, pero una especifica, si.
El escenario WikiLeaks de Bill Thompson, donde cada DM de Twitter es liberado de algún modo, es poco probable. Pero sin querer ser alarmista, yo diría que a menos que Twitter comienzo a usar un sistema de autorización más detallado como Facebook, es una cuestión de cuando – no si – una aplicación se vuelva deshonesta. Las travesuras no es una fuerte motivación para liberar datos personales (los riesgos son muy elevados) pero solo basta con un solo chico con conocimientos para crear scripts de programación y con deseos de notoriedad, y repentinamente The Pirate Bay estará sirviendo «Dos-millones-de-DMs-de-Twitter.rar» para cualquiera que le interese.
En definitiva la cuestión es: casi cualquier aplicación que autorizas en Twitter, no importa cuan trivial sea, tiene casi el control completo sobre tu cuenta. Esta no es una revelación nueva, pero aún sigue tomando a muchos por sorpresa. Si no chequeaste recientemente la página de Conexiones de tu cuenta de Twitter para ver cuales aplicaciones autorizaste, deberías hacerlo. Y revocarlas a menos que estés seguro que quieras arriesgarte a que se vuelvan deshonestas en algún punto.
Fuente: The Guardian.
¿Quien está leyendo tus DMs en Twitter? by Gabriel Ravarini