Twitter lanzó recientemente un gran cambio que afectará la forma en que la mayoría de las personas protegen sus cuentas. La compañía les dijo a los usuarios que no pagaban que pronto tendrían que dejar de usar una función de seguridad popular: la autenticación de dos factores a través de mensajes de texto.

Déjame explicarte por qué esto no es tan malo como podrías temer.

En resumen, la autenticación de dos factores requiere dos pasos de seguridad para verificar que eres quien dices ser. El primer paso requiere un nombre de usuario y una contraseña, y el segundo requiere que ingrese un código temporal que se le envió o que se conecte a una clave de seguridad física. De esa manera, incluso si alguien tiene su contraseña, esa persona tendrá que completar el segundo paso para iniciar sesión en su cuenta.

El anuncio de Twitter de este cambio fue inicialmente confuso y alarmante para muchos. Pero para ser claros, Twitter está presionando a los usuarios para que tomen precauciones más estrictas, y eso ha creado una oportunidad para que todos nosotros mordamos la bala y mejoremos la seguridad de nuestras cuentas en línea.

Gorjeo dijo en una publicación de blog que los usuarios que no estaban suscritos al servicio Twitter Blue ya no podrían usar mensajes de texto como una forma de autenticación después del 20 de marzo. Los usuarios que no pagan pueden cambiar a diferentes técnicas de verificación con formas más fuertes de seguridad. Las alternativas se basan en el uso de una aplicación de terceros para generar un código temporal o en activar una clave de seguridad autorizada para acceder a su cuenta.

“El uso de aplicaciones de autenticación gratuitas para 2FA seguirá siendo gratuito y mucho más seguro que los SMS”, Elon Musk, propietario de Twitter, tuiteó.

Según Casey Ellis, director de tecnología de la firma de seguridad Bugcrowd, Twitter tenía un punto válido sobre las fallas en la autenticación basada en SMS. “En realidad tiene sentido, pero simplemente no se ejecuta de manera limpia”, dijo Ellis.

Pero hay fallas en el enfoque de Twitter, agregó. La autenticación de mensajes de texto es la herramienta de seguridad más simple que la mayoría de las personas puede usar. Otras técnicas requieren pasos de configuración adicionales.

(También confuso: los usuarios pagos de Twitter aún podrán confiar en los códigos que se les envían a través de mensajes de texto para iniciar sesión, una elección extraña si esa forma de autenticación es menos segura. Twitter no respondió de inmediato a una solicitud de comentarios).

Cambiar a los otros métodos de seguridad no es intuitivo, por lo que existe el riesgo de que muchos usuarios de Twitter que no pagan recurran a omitir la autenticación de dos factores por completo.

Sin embargo, en medio de todo esto, existe una valiosa oportunidad de aprender sobre métodos más fuertes de autenticación de dos factores y por qué deberíamos considerar usar uno siempre que sea posible en lugar de la seguridad basada en SMS para todas nuestras cuentas en línea. Esto es lo que necesita saber sobre cada método y sus ventajas y desventajas.

autenticación por mensaje de texto

Durante muchos años, Twitter y otros sitios han animado a los usuarios a configurar la autenticación de dos factores a través de mensajes de texto. Este método envía un código de seguridad sensible al tiempo al teléfono del usuario. Esta es la forma más utilizada de autenticación de dos factores porque casi todo el mundo tiene un teléfono celular, por lo que incluso la persona menos experta en tecnología puede resolverlo.

Pero con el tiempo, los investigadores de seguridad descubrieron que la autenticación por SMS se volvió cada vez más problemática. Un mensaje de texto que contiene un código de seguridad puede ser interceptado por alguien que haya secuestrado su número de teléfono, una estafa conocida como intercambio de SIM. Así es como los piratas informáticos irrumpieron en la cuenta de Twitter del ex director ejecutivo de la compañía, Jack Dorsey, en 2019.

Hay más preguntas. El mensaje de texto no está encriptado, por lo que puede representar un riesgo para la seguridad recibir mensajes de texto en redes extranjeras en países con mayor vigilancia, como China y Rusia. Además, si viaja fuera de los Estados Unidos, recibir mensajes de texto de un proveedor extranjero puede ser costoso.

Los investigadores de seguridad continúan encontrando nuevas fallas en la autenticación basada en SMS, por lo que podemos esperar que más sitios y aplicaciones disuadan a los usuarios de recibir códigos a través de mensajes de texto, dijo Ellis.

Aplicaciones de autenticación

Esto nos lleva a las aplicaciones de autenticación que descarga en su teléfono o computadora. Generan códigos de seguridad temporales (en lugar de enviarlos a su teléfono) que ingresa para iniciar sesión en sus cuentas y aplicaciones en línea.

Usemos Twitter y la aplicación Google Authenticator como ejemplo.

• Primero, descargue la aplicación Google Authenticator en su teléfono. Luego haga clic en Twitter.com desde una computadora | Más ▼→Seguridad y acceso a la cuenta→Autenticación de dos factores→Aplicación de autenticación.

• Desde aquí, sigue los pasos en Twitter. Se le pedirá que use la aplicación Authenticator para escanear un código QR con la cámara de su teléfono, que vinculará la aplicación a su cuenta de Twitter y comenzará a generar códigos de seguridad.

Cuando inicie sesión en Twitter, ingresará su nombre de usuario y contraseña, y luego abrirá la aplicación Authenticator para encontrar el código temporal.

La gran desventaja de usar autenticadores es que si pierde su teléfono o cambia a uno nuevo, puede ser difícil recuperar el acceso a sus cuentas. Por lo general, un sitio o aplicación como Twitter te permitirá restaurar el acceso a tu cuenta con un código de respaldo. En la configuración de autenticación de dos factores de Twitter, un menú llamado “códigos de respaldo” generará un código que le permitirá iniciar sesión nuevamente. Asegúrese de anotar este código y guardarlo en un lugar seguro.

Esta técnica requiere algo de tiempo y ancho de banda mental para hacerse bien y acostumbrarse, pero generalmente es mejor. Es mucho más difícil para alguien secuestrar su dispositivo para ver sus códigos de seguridad que interceptar un mensaje de texto.

llaves de seguridad

El tercer método, usar una clave de seguridad física en forma de una memoria USB que inserta en su computadora o teléfono para iniciar sesión, es el más seguro de todos. Es poco probable que veamos esta técnica ampliamente adoptada porque la clave cuesta dinero y, si la pierde, puede ser difícil recuperar el acceso a su cuenta.

Usemos Twitter y la clave de seguridad Titan de Google como ejemplo.

• Primero, debe comprar una clave de seguridad. Google vende su llave de seguridad Titan por $30; incluye un par de llaves para diferentes tipos de computadoras y teléfonos.

• Luego haga clic en Twitter.com desde una computadora | Más ▼→Seguridad y acceso a la cuenta→Autenticación de dos factores→Clave de seguridad.

• Desde aquí, siga las instrucciones de Twitter, que lo guiarán para conectar el dongle a un puerto USB y presionar un botón para confirmar el dongle. Twitter luego mostrará una pantalla de código de respaldo en caso de que pierdas tu clave. Guárdelo en un lugar seguro.

Un poco de molestia, ¿no? Sin embargo, puede ser útil para personas que trabajan en áreas muy sensibles, como agencias gubernamentales y activismo.

Fila inferior

En conclusión, la aplicación de autenticación es el método de dos factores que es relativamente conveniente y muy seguro de usar. Recomiendo que la mayoría de las personas elijan una aplicación, como Google Authenticator, Authy o Microsoft Authenticator, y la sigan. Todos funcionan igual.

Puede tomar algún tiempo configurar una aplicación de autenticación con todas sus cuentas en línea, pero solo tiene que hacerlo una vez. Y, a la larga, puede ahorrarle tiempo porque iniciar sesión en sitios con este método puede ser más rápido que esperar a que lleguen los mensajes de texto.