Existen múltiples evidencias de que cuando un producto en el ciberespacio es “gratis” lo más probable es que tú seas el producto o, dicho con otras palabras, los datos personales que proporciones al utilizarlo especialmente si se trata de una red social. Sin embargo, sorprendió a muchos que Twitter anunciara esta semana que hasta hace poco tiempo se percató que las direcciones de correo electrónico y los números telefónicos proporcionados por los usuarios para fines de seguridad (doble factor de autenticación) se estuvieron filtrando hasta el 17 de septiembre de manera inadvertida para fines publicitarios, específicamente en uno de sus sistemas: “Tailored Audiences & Partner Audiences”

Tailored Audiences es un recurso utilizado por los anunciantes en internet para orientar su publicidad hacia los clientes en función de las propias listas de marketing del anunciante, como las direcciones de correo electrónico o los números telefónicos que han recopilado a lo largo del tiempo. Por otro lado, “Partner Audiences” permite a los anunciantes usar las mismas funciones de “Tailored Audiences” para orientar anuncios hacia audiencias proporcionadas por socios externos. Derivado de estos mecanismos, es posible que cuando los anunciantes cargaron su lista de marketing, hayan hecho coincidir a los usuarios de Twitter con su lista, usando el correo electrónico o el número telefónico proporcionado por el usuario con fines de seguridad al crear o actualizar su cuenta, lo que conllevó a que un anunciante pudiera conocer la cuenta de Twitter de cualquier persona registrada en su base de datos, algo que de manera regular no debería de suceder.

En su comunicado oficial, Twitter informó que no tenía la certeza de cuántas personas se vieron afectadas por esta falla, pero en un esfuerzo por ser transparente y ético lo dio a conocer públicamente, esperando que todos sus usuarios estuvieran conscientes del problema, además de clarificar que nunca compartió datos personales de forma externa con sus socios o terceros, y que ya hizo lo necesario para corregir el problema.

Es una práctica común el usar datos personales en ciertos procesos de manera inadvertida debido a que las organizaciones, en su premura por liberar nuevas versiones de sus sistemas o plataformas, olvidan revisar de manera exhaustiva los flujos de información. Sin embargo, estas prácticas cobran la factura cuando dicha información forma parte de una brecha de seguridad; por ello mientras las organizaciones no busquen tener un proceso de desarrollo seguro (por ejemplo, owasp) como parte de su ciclo de vida, seguiremos observando más casos como éste.

Referencias:
https://thenextweb.com/hardfork/2019/09/06/hard-fork-summit-official-schedule/
https://help.twitter.com/en/information-and-ads