La red social Twitter reconoció que utilizó para fines publicitarios los números de teléfono que pedía por razones de seguridad. La compañía pedía a sus usuarios el número y correo electrónico para proporcionar una protección de la cuenta basada en la autenticación de dos pasos. Sin embargo, estos datos acabaron siendo utilizados con fines publicitarios específicos, aunque Twitter asegura que ha sido de forma “no intencional”.

El fallo de seguridad ofreció a los anunciantes los números telefónicos de un grupo de usuario, pero los datos personales de los afectados no fueron revelados. Sin embargo, la empresa no conoce a ciencia cierta cuántos usuarios se vieron afectados.

La firma estadounidense, que gestiona más de 330 millones de usuarios en todo el mundo, lo calificó como un “error” y que se utilizó “involuntariamente” esta información privada introducida por motivos de seguridad.

“Hemos descubierto recientemente que cuando ustedes proporcionan una dirección de correo electrónico o un número de teléfono por motivos de seguridad, por ejemplo, para la verificación de doble factor, estos datos pueden haber sido involuntariamente usados para publicidad”, apuntan fuentes de la empresa en un comunicado difundido en el que, además, se informa que ya se ha resuelto el problema.

La compañía no tiene autorización para emplear esa información personal para otros fines que no sea garantizar la seguridad de la cuenta de los usuarios mediante la doble autenticación. El usuario proporciona un correo electrónico o un número de teléfono para que le llegue un mensaje con un código de verificación cuando intente acceder a un servicio. Así, introduciendo el código está demostrando que es él y no otra persona la que está intentando ingresar a su cuenta.

Twitter asegura que ningún dato personal de los usuarios se ha compartido con terceros y que «han abordado el problema que ha permitido que esto ocurriese». Afirman que, desde el 17 de septiembre, los números de teléfono y las direcciones de email solo se solicitan por motivos de seguridad.

«Desde el 17 de septiembre abordamos el problema que permitió que esto ocurriera y ya no usamos los números de teléfono o las direcciones de correo electrónico recopilados para fines de seguridad para hacer publicidad. No se compartieron datos personales con ninguno de nuestros socios».

Este error comenzó a raíz del programa de audiencias personalizadas desarrollado por Twitter, llamado Tailored Audiences, y que permite a los anunciantes dirigir sus campañas publicitarias basándose en sus propias listas de marketing. Entonces, la empresa descubrió que cuando se cargaban esas listas se hacía coincidir el número de teléfono y las direcciones de correo electrónico que sus usuarios previamente habían introducido para configurar la seguridad de sus perfiles.

La red social salió al paso asegurando que esa información fue utilizada en sus “sistemas de anuncios para audiencias de socios y para audiencias personalizadas”. El sistema de autenticación de dos pasos es una medida de seguridad que se ha extendido en los últimos años en los principales servicios digitales con el objetivo de que sea más difícil hackear las cuentas de los usuarios por parte de grupos de ciberdelincuentes.

Twitter requiere a los usuarios que proporcionen un número de teléfono válido para habilitar la protección de segundo factor, incluso cuando no quieren que este código les llegue por SMS, por lo que los perfiles afectados no tenían ninguna opción de evitarlo de este error.

“Ha sido un error y pedimos disculpas” aseguró Twitter en su comunicado. “Lamentamos que esto haya sucedido y estamos dando los pasos para garantizar que no volvemos a cometer este error otra vez”, señaló. La red social se disculpó en términos similares en julio, cuando admitió que podría haber compartido datos de los usuarios de su aplicación para móviles, incluidos códigos de país y datos de impacto de anuncios, con empresas anunciantes aun cuando los usuarios “no habían dado permiso” para hacerlo.

Los datos del sistema de verificación de dos pasos son “tan sensibles” que “deben de tener un acceso restringido”. “Los datos personales a nivel general deben respetarse es un principio de calidad, que significa que se recaban para una finalidad concreta y no se pueden emplear para otra. Si se quiere hacer, hay que pedir un consentimiento que, para las comunicaciones comerciales, debe de ser expreso”, afirmó Samuel Parra, abogado especializado en protección de datos.

No es el primer problema de seguridad que experimenta Twitter en los últimos años. Por ejemplo, en mayo del año pasado, la compañía sufrió un fallo que dejó expuestas las contraseñas de todos los usuarios de la red social y tweets privados. Tampoco es la primera vez que una importante red social toma información proporcionada por motivos de seguridad y posteriormente (de manera silenciosa o accidental) la utiliza para una cosa completamente diferente.

Facebook, por ejemplo, hizo algo similar el año pasado. La compañía confirmó que utilizó los números de teléfono proporcionados por los usuarios (para la autenticación en dos pasos) para mejorar la efectividad de sus perfiles sombra, una práctica con la que guardan datos de usuarios que no se han compartido con la red social.

Un problema que ocasionó la sanción a Facebook por parte de la Comisión Federal de Comercio de Estados Unidos por valor de 5.000 millones de dólares a principios de este año. Es irónico pensar que al proporcionar un número de teléfono para aumentar la seguridad de la cuenta esos datos acaben siendo utilizados para otros fines; y, lo peor de todo, que el usuario no tenga conocimiento de ello.