Twitter dejó sin protección los números de teléfono de sus usuarios

Lo que le sucedió a Facebook le ha pasado, ahora, a Twitter. La compañía propietaria de la conocida red de micromensajes ha admitido que empleó números de teléfono y correos electrónicos proporcionados por los usuarios para configurar el sistema de verificación de dos pasos para mandar publicidad segmentada a sus usuarios. El alcance no ha trascendido . ABC ha preguntado a la filial de la compañía en España, pero no se ha podido averigurar si hay o no usuarios españoles entre los afectados.

La firma estadounidense, que gestiona más de 330 millones de usuarios en todo el mundo, lo ha calificado de «error» y que se utilizó «involuntariamente» esta información privada introducida por motivos de seguridad. «Hemos descubierto recientemente que cuando ustedes proporcionan una dirección de correo electrónico o un número de teléfono por motivos de seguridad seguridad, por ejemplo para la verificación de doble factor, estos datos pueden haber sido involuntariamente usados para publicidad», apuntan fuentes de la empresa un comunicado difundido este martes en el que, además, se informa que ya se ha resuelto el problema.

Aunque no se ha podido concretar el número de usuarios afectados, la multinacional estadounidense ha asegurado que «ha sido un error y pedimos disculpas». También, ha insistido en que no ha compartido los datos a nivel externo y que el problema se resolvió el pasado 17 de septiembre, aunque no se ha informado hasta ahora.

Todo comenzó a raíz del programa de audiencias personalizadas desarrollado por Twitter y que permite a los anunciantes dirigir sus campañas publicitarias basándose en sus propias listas de marketing. Entonces, la empresa descubrió que cuando se cargaban esas listas se hacía coincidir el número de teléfono y las direcciones de correo electrónico que sus usuarios previamente habían introducido para configurar la seguridad de sus perfiles. La red social ha salido al paso asegurando que esa información fue utilizada en sus « sistemas de anuncios para audiencias de socios y para audiencias personalizadas ».

El sistema de verificación de dos factores es una medida de seguridad que se ha extendido en los últimos años en los principales servicios digitales con el objetivo de que sea más difícil «hackear» las cuentas de los usuarios por parte de grupos de ciberdelincuentes. Esta revelación sitúa a Twitter en la misma posición que Facebook, que el pasado año también se descubrió que había utilizado los números de teléfono registrados por sus sus usuarios para mandar publicidad personalizada, la gran fuente de ingresos de ambas empresas. Un problema que ocasionó la sanción a Facebook por parte de la Comisión Federal de Comercio de Estados Unidos por valor de 5.000 millones de dólares a principios de este año .

«Han utilizado [por la compañía] un dato para una finalidad que no estaba prevista cuando captaron el dato y luego no tomaron las medidas organizativas y de seguridad que el Reglamento General de Protección de Dato s exige permanente para que no pasen estas cosas. Es la demostración de que, aunque fuera por error, no estaban organizados los datos con los permisos para las finalidades previstas y supone una infracción del Reglamento», asegura a este diario Borja Adsuara , jurista experto en derecho digital. «Hay una infracción. Luego la empresa tendrá que presentar sus alegaciones para demostrar si ha sido por error, pero se deberá valorar por los organismos reguladores».

Para Samuel Parra , abogado especializado en protección de datos, los datos del sistema de verificación de dos pasos es «tan sensible» que «debe de tener un acceso restringido». «Los datos personales a nivel general deben resopetarse un principio de calidad, que signifgica que se recaban para una finalidad concreta y no se pueden emplear para otra. Si se quiere hacer hay que pedir un consentimiento que, para las comunicaciones comerciales, debe de ser expreso.