En el mundo digital existe una clasificación —bastante básica, no te vamos a mentir— de la ética con la que los hackers se acercan a la seguridad informática. Existen aquellos denominados de Sombrero Blanco o White Hat que alertan de las fallas en las compañías para buscar soluciones. También aparecen sus opuestos, llamados Black Hat o Sombrero Negro que aprovechan esas fallas para su beneficio económico.
Un curioso enfrentamiento de esas posturas parece que terminó con la filtración de millones de datos de usuarios de Twitter.
En internet se ha divulgado la información de 5.4 millones de cuentas y un usuario lo está vendiendo en 30 mil dólares. De acuerdo con la plataforma especializada Restore Privacy, todo se pudo haber originado por un hacker que buscaba ayudar.
White Hat vs. Black Hat
Hace aproximadamente 6 meses, un hacker llamado zhirinovksiy publicó un reporte en el sitio HackerOne avisándole a Twitter que existía una falla en su sistema.
Sin meternos mucho al enredo técnico: esta persona —que podríamos describir como Sombrero Blanco— le alertó a la empresa que había un error bárbaro en su plataforma de Android. El White Hat Hacker encontró la forma de obtener los teléfonos o los correos electrónicos asociados a las cuentas brincándose todos los candados de privacidad.
En su mensaje advirtió que se trataba de una falla severa.
“Es una amenaza seria pues alguien podría minar la información para conseguir una base de datos gigante y ponerla en venta a entes maliciosos, para enfocar ataques de phishing, acosar celebridades o anunciantes”, explicó en su publicación.
Twitter tomó en serio su aviso y confirmaron que estaban trabajando en repararlo. Por sus servicios y por su ayuda, le dieron una recompensa de 5 mil dólares.
Después resulta que tronó el abarrote.
Las advertencias del hacker se hicieron realidad pues la plataforma Restore Privacy encontró un base de datos de 5.4 millones de cuentas de Twitter. ¿Lo complicado? Todo parece indicar que se obtuvieron con el método que el White Hat Hacker había hecho público.
La advertencia había estado en línea 5 días antes de que fuera aprovechada por el Black Hat Hacker con malas intenciones.
Estos datos han sido verificados por las plataformas y se sabe que incluyen correos electrónicos y números de teléfonos asociados a las cuentas. Aunque no trae las contraseñas, esto pude ser un riesgo de seguridad y de privacidad para empresas, celebridades o cualquier usuario.
Un último dato curioso: el especialista Sven Taylor le escribió al hacker con la intención de comprarle la base de datos y le pidieron 30 mil dólares. Eso es poquito más de 600 mil pesos.