Twitter va con toda contra los hackers: así funciona la llave de seguridad y la app de autenticación

Twitter ha anunciado que la verificación de dos pasos o factores (2FA) mediante SMS se convertirá el próximo 20 de marzo en una de las ventajas que ofrecerá dentro de la suscripción Twitter Blue, aunque mantiene dos métodos de protección adicional de las cuentas de forma gratuita.

Lo más habitual para acceder a una cuenta de Twitter es introducir el usuario y la contraseña. Pero estas credenciales son fácilmente ‘hackeables’, sobre todo si la clave elegida es corta, previsible o se reutiliza en otros servicios digitales.

Por ello, una de las formas de incrementar la seguridad en el inicio de sesión es recurrir a la activación de un sistema de verificación de dos factores, que de manera adicional solicita un código enviado al usuario por el canal que haya elegido (normalmente un SMS o un correo electrónico).

Twitter permite recibir el código mediante un mensaje de texto que la plataforma envía al número de teléfono vinculado con la cuenta. No es, precisamente, la protección más fiable, ya que esta forma de autenticarse puede ser objetivo de los ataques conocidos como ‘SIM swapping’ o ‘hackeo’ de SIM.

Se trata de una técnica conocida también como el timo del duplicado de SIM porque los ciberdelincuentes lo que hacen es un duplicado de la SIM de la víctima. Para ello, suelen engañar a las compañías telefónicas, normalmente aprovechando errores humanos.

Al conseguir el duplicado de la tarjeta SIM, pueden introducirla en un móvil que esté bajo su control y desde él, acceder a datos del usuario o incluso a cuentas en servicios digitales. De hecho, esta técnica fue la que en 2019 comprometió la cuenta del cofundador de Twitter, Jack Dorsey.

La propia Twitter conoce en su página de Transparencia que “mientras cualquier forma de 2FA es mucho más segura que no tener ningún 2FA habilitado, algunas formas de 2FA son más seguras que otras”. En este sentido, advierte de que la autenticación de dos factores basada en SMS “es menos segura debido a su susceptibilidad tanto al secuestro de SIM como a los ataques de phishing”.

La modalidad de 2FA menos segura pero más extendida

En el periodo comprendido entre julio y diciembre de 2021 -el más reciente en el informe de seguridad de la cuenta-, solo el 2,6 por ciento de los usuarios activos de Twitter habían activado una forma de autenticación de dos factores, siendo la basada en SMS la más extendida (74,4 %) frente a los métodos que emplean una ‘app’ de autenticación (28,9 %) y una llave de seguridad (0,5 %).

El anuncio hecho por Twitter significa que, a partir del 20 de marzo, la modalidad de 2FA, menos segura, pero más extendida, pasará a ser una ventaja de la suscripción Twitter Blue, como ya lo es el tic que verifica la cuenta o la edición de las publicaciones.

Sin embargo, Twitter permite a los usuarios de la cuenta gratuita seguir utilizando una de las otras dos modalidades de autenticación de dos factores: mediante una ‘app’ o con una llave de seguridad. Ambas opciones se encuentran en los ajustes de ‘Configuración y privacidad’ de la cuenta de Twitter, dentro de las opciones de ‘Autenticación dedos factores’ en ‘Seguridad y acceso a la cuenta’. Para activar cualquiera de ellas solo hay que marcar la seleccionada y seguir las instrucciones.

El uso de una aplicación de autenticación requiere introducir a modo de comprobación la contraseña de la cuenta y vincular un correo electrónico, si no se tenía ya. Posteriormente, solicitará escanear un código QR desde el móvil, que permitirá vincular cuenta y ‘app’. De esta forma, mostrará un código que habrá que introducir para iniciar sesión.

Por otra parte, si se opta por una llave de seguridad, ya sea mediante USB, conectividad Bluetooth o NFC, las instrucciones permitirán instalarla y guardarla en la sección ‘Administrar claves de seguridad’.

Sí, por el contrario, el usuario solo quiere desactivar la autenticación de dos factores, solo tendrá que desmarcar la casilla con la opción que tenía habilitada.

*Con información de Europa Press.