Los expertos en seguridad son unánimes en que el uso de la autenticación de dos factores (2FA) basada en SMS es inseguro y pone a los usuarios en riesgo de compromiso: las comunicaciones basadas en SMS son interceptadas o redirigidas con demasiada facilidad por actores malintencionados en los llamados ataques de intercambio de SIM, y el tiempo alejarse de esta tecnología obsoleta e insegura ha pasado hace mucho tiempo.
Entonces, si uno acepta el anuncio de Twitter de que planea para eliminar 2FA basado en SMS como una opción para los usuarios que no pagan el 20 de marzo de 2023 a su valor nominal, es fácil leerlo como un intento totalmente sensato y razonable de empujar a los usuarios hacia opciones de MFA más seguras, como el uso de una aplicación móvil o una seguridad física llave. Parece una decisión lógica.
Pero ya no está claro si Twitter está tomando decisiones sobre una base lógica; la plataforma de redes sociales ha estado plagada de una gran cantidad de problemas, muchos de ellos problemas de cumplimiento y seguridad cibernética, desde que el multimillonario errático Elon Musk la adquirió en 2022.
Se cree que muchos de estos problemas fueron causados por la tendencia de Musk a tomar decisiones improvisadas por capricho, y hay algunas sugerencias de que este último cambio de política puede ser una de esas decisiones, tomada para abordar un problema específico. – posiblemente el costo de ofrecer SMS 2FA – pero sin pensar en las ramificaciones más amplias.
Por un lado, la decisión de permitir que los usuarios de pago conserven la capacidad de usar un método de autenticación inseguro como característica premium no tiene sentido, y Twitter tampoco ha hecho nada para incentivar a los usuarios a comenzar a pagar por su nivel premium “Azul”.
Como tal, dijo Andy Kays, director ejecutivo de Socura, un proveedor de servicios de detección y respuesta administrada (MDR), pronto será “Navidad adelantada” para los estafadores.
Todo el mundo sabe que la 2FA basada en SMS tiene sus defectos, explicó Kays, pero debido a que es más fácil, y generalmente más barata, de usar, se ha convertido en una característica de seguridad de gran valor para la población general.
“A corto plazo, la eliminación de 2FA podría ser perjudicial, especialmente entre los usuarios de redes sociales menos expertos en tecnología”, dijo Kays. “La mayoría de las personas pasarán de usar SMS 2FA a no usar ningún tipo de 2FA. Como resultado, serán mucho menos seguros y serán un objetivo principal para los estafadores, ciberdelincuentes y ladrones de identidad”.
“A largo plazo, solo podemos esperar que este movimiento sea el catalizador para la adopción universal de aplicaciones auténticas. Es cierto que las aplicaciones de autenticación son una forma mucho mejor de 2FA, pero se debería haber alentado a los usuarios a cambiar por su propia voluntad durante un período de tiempo, no obligados a hacerlo”, dijo.
Alexander Heid, director de investigación y desarrollo del especialista en calificación de seguridad SecurityScorecard, dijo: “Cuando se deshabilite 2FA basado en SMS el 20 de marzo, puede haber un pequeño porcentaje de usuarios que no pagan experimenten apropiaciones de cuentas si han estado reutilizando contraseñas que son circulando sobre violaciones de datos públicos y confiando únicamente en 2FA basado en SMS para mantener su cuenta segura.
“Si una persona tiene la costumbre de reutilizar contraseñas antiguas, se recomienda cambiar su contraseña independientemente del cambio del 20 de marzo.
Sin embargo, agregó: “Se ha informado que solo el 2,6% de los usuarios de Twitter utilizan 2FA – por lo que solo una pequeña parte de los usuarios de Twitter en general se verán afectados por estos cambios”.
Opciones alternativas
Si actualmente está utilizando 2FA basado en SMS para iniciar sesión en Twitter y prefiere no pagar para mantener el uso de un servicio inseguro, Twitter continuará ofreciendo otras dos opciones, las cuales vale la pena considerar.
La opción 2FA más segura para Twitter es una clave de seguridad física, como Yubikey de Yubico o Google Titan, un pequeño dispositivo que se conecta a su computadora, ya sea a través del puerto USB o de la conectividad inalámbrica, para generar un código de acceso único (OTP) que luego puede usar para iniciar sesión en el servicio.
Las claves físicas se consideran altamente seguras porque deben estar en su poder y no se pueden eludir fácilmente en caso de que un ciberdelincuente haya comprometido sus credenciales de Twitter.
Una aplicación de autenticación, como Authy de Twilio, Google Authenticator o LastPass, funciona con un principio similar pero genera códigos en su dispositivo móvil que puede usar cuando inicia sesión en Twitter.
Dichas aplicaciones aún brindan un nivel decente de protección en caso de que sus credenciales se hayan visto comprometidas de alguna manera, pero son vulnerables si le roban su teléfono móvil y no son prácticas si su teléfono móvil se pierde.