Correos electrónicos personales vinculados a 235 millones de cuentas de Twitter hackeadas hace algún tiempo han quedado desprotegidos, de acuerdo con el investigador de seguridad israelí Alon Gal, lo que compromete millones de cuentas o expone identidades si han utilizado el sitio de manera anónima para criticar a gobiernos opresores, por ejemplo.

Gal, cofundador y director de tecnología de la firma de seguridad cibernética Hudson Rock, escribió esta semana en una publicación de LinkedIn que la filtración “desafortunadamente conducirá a una gran cantidad de hackeo, phishing dirigido y doxxing”.

Aunque las contraseñas de las cuentas no se filtraron, los hackers malintencionados podrían usar los emails para intentar restablecer contraseñas, o adivinarlas si se usan comúnmente o se reutilizan con otras cuentas. Eso resulta particularmente riesgoso si las cuentas no están protegidas por autenticación de dos factores, la cual agrega una segunda capa de seguridad a cuentas protegidas con contraseña al solicitar que los usuarios ingresen un código generado automáticamente para iniciar una sesión.

Quienes usan Twitter de forma anónima deben contar con una dirección de correo electrónico dedicada a Twitter que no revele quiénes son y que usen únicamente para Twitter, señalan los expertos.

Si bien el hackeo parece haber ocurrido antes de que Elon Musk se hiciera cargo de Twitter, la noticia de los emails filtrados agrega otro dolor de cabeza para el multimillonario, cuyos primeros dos meses al frente de la compañía han sido caóticos, por decir lo menos.

De momento, Twitter no ha respondido a los mensajes en busca de comentarios sobre el ciberataque.

La noticia del hackeo podría meter en problemas a la compañía con la Comisión Federal de Comercio. Twitter, con sede en San Francisco, firmó en 2011 un acuerdo de consentimiento con la agencia que lo obliga a abordar fallas graves en la seguridad de datos.

Twitter pagó una multa de 150 millones de dólares en mayo pasado, varios meses antes de ser adquirido por Musk, por violar la orden de consentimiento. Una versión actualizada estableció nuevos procedimientos que requieren que la empresa implemente un programa mejorado de protección a la privacidad, además de reforzar la seguridad de la información.