Twitter confirma el fallo de seguridad en los círculos… ¡un mes después!

Ya han pasado unas cuatro semanas desde que trascendiera el problema de seguridad con los círculos de Twitter, un fallo del que ya te informamos en su momento y que se tradujo en la exposición incontrolada de mensajes que, en principio, solo debían dirigirse a una audiencia específica. Si conoces el funcionamiento de los círculos de Twitter ya te puedes imaginar lo que significa esto, en lo referido a los riesgos, para todos los usuarios de esta función.

Si no es así, es decir, si no sabes en qué consisten, hablamos de una función claramente inspirada en el control del alcance de nuestras publicaciones de Facebook, que la red de Meta ofrece desde hace años. Sus pruebas públicas se iniciaron en mayo del año pasado y tres meses después, en agosto, se completó su despliegue para todos los usuarios, brindado finalmente de este modo un sistema que permite a los usuarios seleccionar a qué personas deben llegar determinadas publicaciones, haciendo que éstas sean totalmente invisibles para el resto de usuarios de la red social.

Su funcionamiento es muy sencillo: cada cuenta puede crear un círculo de hasta 150 usuarios (no es necesario que ambas cuentas se sigan) y, a la hora de publicar cada nuevo mensaje, Twitter permite escoger si éste se dirige a todo el mundo o si, por el contrario, es exclusivamente para las cuentas que forman el círculo. Es, sin duda, una implementación sencilla e inteligente de una función de privacidad (es decir, de toda la privacidad que puede proporcionar una red social).

Pese a que el incidente se produjo a principios de abril, hasta el momento la red social había mantenido silencio al respecto. Ahora, sin embargo, y según podemos leer en Bleeping Computer, Twitter finalmente ha admitido el incidente con los círculos, en un mensaje enviado a los usuarios cuyos mensajes se vieron expuestos. Conozco el refrán que afirma aquello de «Nunca es tarde si la dicha en buena», pero me parece importante puntualizar que en casos como éste no se puede aplicar, y te explico la razón.

La divulgación responsable de incidentes de seguridad es un método estandarizado en la industria y que permite prevenir, de manera temprana, a quienes se puedan ver afectados por los mismos. Las compañías cuyos productos o servicios se ven afectados por un incidente informan, de manera temprana, sobre el mismo, aunque sin revelar, claro está, la causa del problema, para evitar que ésta pueda ser explotada masivamente con todo tipo de aviesas intenciones.

Afortunadamente, en este caso, el problema de seguridad de los círculos de Twitter trascendió públicamente gracias a los propios usuarios y los medios que se hicieron eco del problema, lo que permitió que los afectados tomaran medidas al respecto. Sin embargo, si hubiera sido únicamente por la manera de proceder de Twitter, y aunque el problema se solucionara rápidamente (según afirman ellos, claro), el nivel de exposición podría haber sido mucho mayor.

Lo que hace que se me ocurra una idea de negocio en la línea planteada por Elon Musk desde que es propietario de la red social: «sólo te avisaremos de las incidencias de seguridad si pagas por Twitter Blue, en caso contrario te… fastidias«. Total, ya ha quedado claro que la importancia que la red social le concede a los usuarios que no pasan por caja tiende a cero, ¿por qué no explicitarlo aún más? Y tengo aún más ideas, igual algún día hasta las comparto aunque, eso sí, si finalmente deciden adoptarlas, espero ser retribuido económicamente por las mismas. Pero como prestador de servicios externos, ojo, no me gustaría nada de nada trabajar en un sitio así con un jefe así.