No hay duda de que, desde que Elon Musk controla Twitter se han ido sucediendo varios cambios importantes en la empresa, cambios cuyo alcance aún está por ver. Uno de los más recientes afecta directamente a uno de los mecanismos de seguridad con los que los usuarios de la plataforma cuentan para proteger el acceso a sus cuentas, algo que ha despertado ciertas críticas entre algunos usuarios.
Autenticación de doble factor por SMS solo para usuarios de pago
En una actualización que pudimos ver en el blog oficial de Twitter el pasado miércoles 15 de febrero se anunciaba la eliminación del SMS como posibilidad para usar en la autenticación multifactor (2FA) a la hora de proteger nuestras cuentas. La empresa toma esta decisión basándose en el mal uso que están haciendo algunos atacantes para tomar el control de ciertas cuentas de Twitter y tan solo mantendrán disponible el uso de SMS como doble factor de autenticación a aquellos que sean suscriptores de Twitter Blue.
Esta noticia se puede interpretar desde varios puntos de vista, empezando por reconocer la importancia de implementar 2FA en todas aquellas cuentas de servicios online que podamos. Sin embargo, desde hace años es sabido que el SMS como método de autenticación tiene graves problemas y puede ser explotado por atacantes para comprometer aquellas cuentas que lo tengan activado.
Desde ese punto de vista podríamos pensar que Twitter está haciendo lo correcto para forzar la migración de los usuarios hacia sistemas de autenticación multifactor más seguros como son las aplicaciones de generación de códigos de un solo uso o las llaves físicas. Esto puede interpretarse como un paso más para deshacernos de una vez por todas de la autenticación por contraseñas, algo que se ha demostrado en incontables ocasiones que es segura por el mal uso que hacen los usuarios de ellas.
Sin embargo, hay algo que no cuadra en este movimiento de Twitter y es que la autenticación de doble factor mediante el uso de SMS seguirá siendo posible para los suscriptores de Twitter Blue, por lo que se deja disponible un sistema vulnerable a ataques a aquellos usuarios que paguen religiosamente su cuota mensual.
El propio Elon Musk indicó a través de su cuenta de Twitter que la empresa sufre pérdidas de 60 millones de dólares al año provocadas por estafas de empresas de telefonía, por lo que no sería descabellado terminar con esta sangría eliminando esta posibilidad para todos, en lugar de solo para los usuarios gratuitos de Twitter.
Tal vez mantengan esta posibilidad para que sea usada en ocasiones excepcionales en los que no se puede tener acceso a una aplicación instalada en el teléfono o, directamente, este haya dejado de funcionar. En estos casos no podría usarse una aplicación para generar códigos, pero sí sacar la tarjeta SIM, introducirla en otro dispositivo y recibir en él los códigos para acceder a nuestra cuenta de Twitter.
No obstante, debemos recordar que los delincuentes también pueden obtener un duplicado de la SIM de un usuario y realizar el mismo proceso para tomar el control de su cuenta por lo que las supuestas ventajas de mantener el SMS como 2FA quedan anuladas por esta otra posibilidad.
Independientemente de los motivos esgrimidos por Twitter para eliminar esta opción a la mayoría de sus usuarios, recomendamos activar la autenticación multifactor, no solo en Twitter, sino en todos aquellos servicios online que usemos y esta opción esté disponible. Obviamente, recomendamos utilizar sistemas más seguros que el SMS como la biometría, aplicaciones de generaciones de códigos como Google Authenticator o Microsoft Authenticator, soluciones corporativas como ESET Secure Authentication o llaves físicas como las de Yubikey.
Conclusión
El enésimo movimiento polémico de Twitter desde que Elon Musk es su CEO nos puede servir para aprovechar y revisar la seguridad de nuestras cuentas de servicios online. En un mundo digital en el que el número de contraseñas que debemos recordar crece sin parar, las alternativas y las soluciones que mejoran la seguridad se van abriendo paso poco a poco y cuando antes las adoptemos, más difícil se lo pondremos a los delincuentes.