Twitter ha eliminado el sistema de autenticación de doble factor (2FA) vía SMS para todos sus usuarios, salvo los de pago, tras una decisión que, al igual que otras medidas recientes del gigante de las redes sociales, ha suscitado una polémica que ha trascendido el universo digital.
A través de un comunicado, Twitter afirmaba a mediados de febrero que, a pesar de ser una forma habitual de verificación, desgraciadamente se ha comprobado que este sistema basado en la comprobación a través del número de teléfono está siendo utilizado -y explotado- por los ciberdelincuentes.
A lo largo de los años, la compañía y muchos de sus usuarios –incluido su antiguo consejero delegado, Jack Dorsey– han aprendido por las malas que los números de teléfono no son buenos identificadores y que los mensajes de texto son vulnerables al secuestro de datos.
Sin embargo, antes de darle el adiós definitivo al SMS, hay que tener en cuenta que utilizar cualquier método de verificación es mucho mejor que confiar únicamente en la seguridad de una contraseña. Por ello, ante la desaparición de este sistema gratuito y con el objetivo de evitar mayores riesgos de pirateo, ESET, compañía líder en ciberseguridad, explica cómo mejorar la seguridad de tu cuenta de Twitter para mantenerla más protegida que nunca.
Incluso para el 0,2 por ciento de usuarios de Twitter que pagan por suscribirse a la plataforma, muchos de estos consejos pueden resultarles útiles.
Cómo funciona y cómo falla la autenticación 2FA
La verificación en dos pasos es una forma de añadir una valiosa capa de protección adicional a todas las cuentas y es especialmente útil si los ciberdelincuentes han conseguido hacerse ya con su contraseña. Es de lamentar, por tanto, que solo el 2,6% de las cuentas activas de Twitter contaran con al menos un método de doble autenticación en la segunda mitad de 2021 (frente al escaso 2,3% del año anterior). De ellas, tres cuartas partes utilizaban mensajes de texto como fuente de verificación.
Este método de comprobación, que se desarrolló por primera vez a mediados de los noventa, se ha convertido con diferencia en el sistema más popular en plataformas de correo electrónico, redes sociales, tiendas online y bancos.
Esperar a recibir un mensaje de texto con un código e introducirlo después de la contraseña es una forma cómoda de mejorar la seguridad de las cuentas. Pero, aunque cualquier segunda verificación es mucho mejor que ninguna, se sabe desde hace tiempo que los mensajes de texto son susceptibles de diversos ataques, ya que los textos entrantes no están cifrados y pueden ser interceptados, leídos o redirigidos por los ciberdelincuentes con relativa facilidad.
En los últimos años se han visto numerosos casos de ataques con los que han conseguido acceder a cuentas a raíz, por ejemplo, de estafas de intercambio de tarjetas SIM. En estas estafas, los ciberdelincuentes engañan a las compañías telefónicas para que transfieran el número de teléfono de su víctima a un dispositivo bajo su control. A partir de ahí, pueden acceder a las cuentas bancarias, de redes sociales y demás plataformas que utilicen el mismo número de teléfono para realizar la comprobación.
A lo largo de todo este tiempo, los investigadores de seguridad, incluidos los de ESET, han encontrado muchos ejemplos de malware capaz de burlar las protecciones de autenticación de doble factor.
Por ejemplo, en 2016,los investigadores de ESET detectaron un troyano bancario para Android que robaba las credenciales de acceso de 20 aplicaciones de banca móvil. El malware transfería todos los mensajes de texto recibidos a los delincuentes. Tres años después, ESET descubrió aplicaciones maliciosas que aprovechaban técnicas novedosas para leer las notificaciones con contraseñas de un solo uso (OTP) que aparecían en la pantalla de los dispositivos.
Las propias protecciones 2FA de Twitter y su postura en cuanto a la seguridad fueron objeto de escrutinio en 2020, cuando un ataque de vishing contra su personal llevó al secuestro de unas 130 cuentas pertenecientes a personalidades destacadas. En el ataque, los ciberdelincuentes subvirtieron las protecciones de doble factor de la plataforma y utilizaron las cuentas de Barack Obama, Elon Musk y Bill Gates, entre otros, para vender una estafa de bitcoin.
Para perpetrar el ataque, los estafadores imitaron el sitio web de la VPN de Twitter, donde los empleados introducen sus credenciales. En cuanto los atacantes introdujeron las credenciales de inicio de sesión en la VPN real de Twitter, esperaron a que los empleados recibieran contraseñas de un solo uso. Una vez que las víctimas rellenaban la contraseña en la VPN falsa, los hackers estaban dentro.
Sin embargo, antes de darle el adiós definitivo al SMS, hay que tener en cuenta que utilizar cualquier método de verificación es mucho mejor que confiar únicamente en la seguridad de una contraseña. Por ello, ante la desaparición de este sistema gratuito y con el objetivo de evitar mayores riesgos de pirateo, ESET, compañía líder en ciberseguridad, explica cómo mejorar la seguridad de tu cuenta de Twitter para mantenerla más protegida que nunca a través de los dos principales tipos de autenticación 2FA que admite la plataforma.
En primer lugar, el uso de aplicaciones dedicadas a la autenticación en los dispositivos, como Microsoft Authenticator o Google Authenticator, proporcionan una seguridad muy sólida y ofrecen más flexibilidad que el sistema de verificación mediante hardware. Las aplicaciones de autenticación generan un código de un solo uso que se utiliza para confirmar la identidad al iniciar sesión en sitios webs y aplicaciones.
La ventaja es que, en lugar de recibir un código por mensaje de texto, el código aparece en la aplicación y está vinculado directamente al dispositivo, en lugar de a un número de teléfono. De este modo, se complica significativamente el trabajo de los ciberdelincuentes a la hora de intentar leer o robar el código. (No obstante, también existe malware que puede llegar a hacerse con este tipo de sistemas de autenticación).
Por otro lado, para aumentar aún más la protección, es posible adquirir una llave de seguridad física que se conecta a través de USB, NFC o Bluetooth. Las llaves físicas ofrecen un alto nivel de protección, sobre todo porque los códigos no se pueden interceptar ni redirigir. Así, para entrar en una cuenta, los delincuentes tendrían que robar tanto la llave como las credenciales de acceso.
Una desventaja que tiene este método es que hay que llevar la llave encima cada vez que se quiera iniciar sesión y, además, las que encontramos disponibles actualmente en el mercado no son compatibles con todos los dispositivos y plataformas. Las versiones más avanzadas, como las que incorporan reconocimiento de huellas dactilares, pueden llegar a superar los 100 euros de precio.
“Al dejar de utilizar la doble autenticación por SMS, hay que asegurarse de revisar bien la configuración de seguridad y privacidad de nuestras cuentas. «Entre otras cosas, es primordial establecer una contraseña fuerte y única, además de añadir un sistema de autenticación multifactor a través de una aplicación compatible como, por ejemplo, Google Authenticator»” destaca Josep Albors, director de investigación y concienciación de ESET España. “Incluso si has decidido pagar por suscribirte a la plataforma, ten en cuenta estos consejos que pueden resultarte muy útiles a la hora de proteger tu cuenta”.