Twitter recomienda cambiar la contraseña a todos sus usuarios por precaución

Justo ayer, 3 de mayo, celebramos el día mundial de la contraseña, y a última hora del día parece que Twitter quiso sumarse a la celebración recomendando a sus más de 330 millones de usuarios que cambiasen sus contraseñas. Debido a la alarma generada entre algunos usuarios, vamos a explicar los motivos que hay detrás de este repentino anuncio.

Twitter lanza la alerta

Si hay algo que destacar sobre el anuncio de ayer de Twitter, fue la sorpresa generalizada de prácticamente todos los que recibimos un mensaje como el que mostramos a continuación en nuestro ordenador o smartphone:

Este tipo de alertas no es algo que suela producirse a menudo, por lo que, poco después de recibir el aviso, muchos estaban buscando información relacionada con incidentes de seguridad que pudieran haber afectado a Twitter recientemente. No obstante, desde la empresa prepararon una entrada en su blog explicando lo sucedido y recalcando que esta medida se había adoptado de manera preventiva.

Al parecer, el problema radica en la existencia de un fallo cuando Twitter cifra las contraseñas de los usuarios mediante el clásico proceso de hashing (y para el cual utilizan bcrypt). Cuando estas contraseñas quedan almacenadas de forma cifrada también se guardaban las originales en texto plano en un registro interno de sus sistemas antes de completar todo el proceso, permitiendo saber la contraseña de cada usuario accediendo a este fichero.

Una vez los técnicos de Twitter hubieron identificado el problema, eliminaron el registro de las contraseñas en texto plano y tomaron medidas para que este error no se volviera  a producir de nuevo. De momento no hay indicios que nos hagan pensar que este registro de contraseñas en texto plano haya podido ser comprometido pero, por si acaso, es recomendable que cambiemos nuestras contraseñas.

Tomando medidas

Tal y como indicamos en el post de ayer, a la hora de proteger un servicio online como Twitter debemos tener en cuenta varios puntos:

  • Cuando vayamos a generar la nueva contraseña para Twitter debemos asegurarnos de que es lo suficientemente larga y robusta como para que no pueda ser adivinada por fuerza bruta. Asimismo, no debemos utilizar datos o información personal como referencia, ya que los delincuentes pueden seguirnos en redes sociales y utilizar lo que publicamos para tratar de adivinar nuestra contraseña.
  • No debemos reutilizar esta contraseña en otros servicios online, y en caso de que estuviésemos usando la anterior en varios sitios, debemos cambiarla y usar una para cada uno.
  • Es muy recomendable activar el doble factor de autenticación tanto en Twitter como en todos aquellos servicios que lo permitan y estemos utilizando. Para activarlo en Twitter, podemos seguir las instrucciones que se nos ofrecen desde su centro de ayuda.
  • Si nos cuesta recordar varias contraseñas robustas podemos utilizar gestores de contraseñas como Dashlane, LastPass o 1Password, o como los que incorporan algunas soluciones de seguridad como ESET Smart Security Premium.

Aplicando estas medidas a la hora de gestionar nuestras contraseñas nos evitaremos problemas de seguridad no solo en Twitter, sino en todos los servicios en los que se nos solicite unas credenciales de acceso.

Conclusión

El aviso preventivo de Twitter muy probablemente sirva para que muchos usuarios mejoren la seguridad de sus contraseñas, a pesar de no tener evidencias de que las contraseñas almacenadas en texto plano hayan sido comprometidas. No obstante, no debemos esperar a que se lancen este tipo de alertas para proteger nuestras cuentas de forma segura, aunque puede ser un buen momento para revisarlo.

Josep Albors

Nuevo phishing de Netflix intenta obtener los datos de nuestra tarjeta de crédito