Tuitearon una mezcla de alarde, alarmas, insultos racistas y referencias a memes, junto con una amenaza de bomba y un llamado a Twitter para restablecer ciertas cuentas suspendidas.

Antes de que Twitter recuperara el control de la cuenta y borrara los tweets, los autores se identificaron como el Escuadrón Chuckling, un grupo que también hackeó recientemente una serie de estrellas y actores de YouTube, según escribe el periodista Will Oremus en One Zero.

Es concebible que los piratas informáticos hayan hecho más que solo publicar algunos tweets ofensivos de la cuenta de Dorsey, pero no hubo evidencia inmediata de eso el viernes. Si eso es todo lo que hicieron, el impacto en el mundo real de este episodio fue probablemente bastante menor en el esquema de las cosas.

(Esta ni siquiera es la primera vez que le sucede a Dorsey.) Tomar brevemente la cuenta de las redes sociales de un individuo, incluso una de alto perfil, es más como un acto de vandalismo menor que el tipo de pirateo sofisticado que implica infiltrarse en una empresa sistemas o robo de información de tarjetas de crédito de personas.

Aun así, hay lecciones a las que vale la pena prestar atención cuando el jefe de una importante empresa de redes sociales es víctima en su propia plataforma. Con base en los hechos que estaban disponibles el viernes por la noche, aquí hay tres conclusiones rápidas de la vergonzosa charla del viernes.

1. Verifique los permisos de su aplicación de Twitter. Al igual que ahora.

Si bien los detalles del hack seguían surgiendo el viernes, los tweets de la cuenta de Dorsey parecían haberse publicado utilizando un servicio llamado Cloudhopper. Twitter adquirió una startup llamada Cloudhopper en 2010 que permite a las personas twittear desde su teléfono por SMS o mensaje de texto, sin iniciar sesión en Twitter. Si Dorsey había activado Cloudhopper en cualquier momento, eso podría haber permitido a los hackers publicar desde su cuenta sin tener que robar su contraseña de Twitter. También hubo indicios de que obtuvieron acceso a su número de teléfono móvil, a través de una técnica llamada intercambio de SIM, en lugar de la cuenta de Twitter en sí.

Cloudhopper no es una aplicación de terceros aleatoria, sombría; hace mucho tiempo se integró en Twitter mismo. No estaba claro de inmediato si Dorsey podría haber evitado el ataque al deshabilitarlo. Sin embargo, es un buen recordatorio de que su cuenta puede verse comprometida a través de varias aplicaciones y servicios a los que ha otorgado acceso a lo largo de los años, incluso si se ha olvidado por completo de ellos, ya que Dorsey aparentemente se había olvidado de Cloudhopper. Verificar los permisos de tu aplicación de Twitter es un consejo permanente, pero si no lo has hecho, ahora sería el momento perfecto. Si hay alguno que no reconoce o en el que no confía completamente, debe revocar su acceso a su cuenta. Puede verificar sus permisos en cualquier momento visitando

2. El intercambio de Sim es un problema grave.

Los expertos en seguridad han estado advirtiendo sobre el intercambio de SIM desde hace un tiempo. Hay mejores explicadores por ahí, pero la esencia es que alguien persuade a su proveedor de telefonía para que transfiera su número de teléfono a su propia tarjeta SIM. Podrían hacerlo fingiendo ser usted y preguntarle al transportista muy amablemente, o podrían estar sobornando o trabajando con alguien en el interior.

Una vez que lo hacen, esencialmente han robado su teléfono: no el hardware, sino la línea telefónica misma. Eso es un problema, porque el método predeterminado para proteger sus diversas cuentas de Internet es la autenticación de dos factores, que a menudo se basa en el acceso a su línea telefónica como prueba de que realmente está intentando iniciar sesión. Entonces, si una aplicación como Facebook o Twitter le envía mensajes de texto un código de confirmación antes de permitirle iniciar sesión, ese código se enviará al teléfono de la persona que robó su número.

En este caso, parece posible que el número de teléfono era todo lo que los hackers necesitaban, gracias a Cloudhopper. Los expertos en seguridad sospecharon rápidamente que el pirateo de la cuenta de Dorsey implicó el intercambio de SIM, en parte porque es la forma en que el Escuadrón Chuckling llevó a cabo ataques anteriores.

Desafortunadamente, no hay mucho que puedas hacer para protegerte por completo del intercambio de SIM. Una medida que puede ayudar es utilizar aplicaciones de autenticación como Google Authenticator, en lugar de su número de teléfono, para la autenticación de dos factores, en los servicios que lo permiten. (Así es como puede cambiar su configuración de dos factores en Twitter). Hay varios otros pasos que puede seguir, pero de manera realista, el intercambio de SIM debe abordarse a nivel de la industria.

3. Pudo haber sido peor.

El CEO de Twitter hackeado se ve mal. El presidente de un país que ha sido pirateado en realidad podría ser malo, especialmente si los piratas informáticos tienen más problemas para disfrazarse que el Grupo Chuckling.

¿Recuerdas cuando un pícaro empleado de Twitter eliminó brevemente la cuenta del presidente Trump? Un actor sofisticado que obtuvo acceso a una cuenta como la de Trump podría, en teoría, causar estragos haciéndose pasar por él para publicar tweets que mueven los mercados o, Dios no lo permita, las fuerzas militares.

Dorsey ha estado diciendo durante años que hacer que Twitter sea más seguro y protegido es una prioridad. Su tweet anclado acerca de comprometerse a hacer que la plataforma sea más saludable y más civilizada permaneció despierta el viernes, incluso cuando los viles tweets de los piratas informáticos se acumularon directamente debajo de ella. Quizás Dorsey mismo hackeado (nuevamente) incitará a la compañía a redoblar sus esfuerzos. Mientras tanto, Twitter seguirá siendo un punto potencial de vulnerabilidad para todos los que lo usan, incluso el tweeter en jefe.