Twitter ya no admitirá la autenticación de dos factores por SMS para “usuarios comunes”
Twitter anunció que a partir del 20 de marzo, solo permitirá a sus usuarios asegurar sus cuentas con autenticación de dos factores basada en SMS si pagan una suscripción a Twitter Blue. La autenticación de dos factores, o 2FA, requiere que los usuarios inicien sesión con un nombre de usuario y contraseña y luego un “factor” adicional, como un código numérico. Los expertos en seguridad han aconsejado durante mucho tiempo que las personas usen una aplicación generadora para obtener estos códigos. Pero recibirlos en mensajes de texto SMS es una alternativa popular. Por lo tanto, eliminar esa opción para los usuarios que no pagan ha dejado a los expertos en seguridad desconcertados.
El cambio en la autenticación de dos factores de Twitter es el último de una serie de cambios de política controvertidos desde que Elon Musk adquirió la compañía el año pasado. El servicio de pago Twitter Blue, la única forma de obtener una marca de verificación azul en las cuentas de Twitter ahora, cuesta $11 por mes en Android e iOS y menos para una suscripción solo de escritorio. Los usuarios que se desconecten de la autenticación de dos factores basada en SMS tendrán la opción de cambiar a una aplicación de autenticación o una clave de seguridad física.
“Si bien históricamente es una forma popular de 2FA, desafortunadamente, hemos visto que los atacantes usan y abusan de la 2FA basada en números de teléfono”, escribió. Entonces, a partir de hoy, ya no permitiremos que las cuentas se inscriban en el método de mensaje de texto/SMS de 2FA a menos que sean suscriptores de Twitter Blue”.
Anuncio de Twitter en una publicación realizada el viernes por la noche
Seguridad de las cuentas
En un informe de julio de 2022 sobre la seguridad de las cuentas, Twitter dijo que solo el 2.6% de sus usuarios activos tienen habilitado algún tipo de autenticación de dos factores. De esos usuarios, el 75% usaba la versión SMS. El 29% usaba aplicaciones de autenticación y menos del 1% había agregado una clave de autenticación física.
La autenticación de dos factores basada en SMS es insegura porque los atacantes pueden secuestrar los números de teléfono de los objetivos o utilizar otras técnicas para interceptar los mensajes de texto. Pero los expertos en seguridad han enfatizado durante mucho tiempo que usar SMS de dos factores es significativamente mejor que no tener habilitado un segundo factor de autenticación.
Cada vez más, los gigantes tecnológicos como Apple y Google han eliminado la opción para los usuarios de dos factores de SMS y han hecho la transición (generalmente durante muchos meses o años) a otras formas de autenticación. A los investigadores les preocupa que el cambio de política de Twitter confunda a los usuarios al darles tan poco tiempo para completar la transición y hacer que los SMS de dos factores parezcan una función premium.
“El blog de Twitter tiene razón al señalar que los atacantes abusan con frecuencia de la autenticación de dos factores que utiliza mensajes de texto. Estoy de acuerdo en que es menos seguro que otros métodos 2FA. Pero si su motivación es la seguridad, ¿no querrían mantener seguras las cuentas de pago también? No tiene sentido permitir el método menos seguro solo para cuentas premium”.
Lorrie Cranor, directora del laboratorio de seguridad y privacidad utilizable de Carnegie Mellon
Contradicciones
Si bien la compañía dice que sus cambios en autenticación de dos factores se implementarán a mediados de marzo, esto no es así. Los usuarios de Twitter con SMS de dos factores activados comenzaron a encontrar una pantalla superpuesta emergente el viernes que les aconsejaba eliminar dos factores por completo o cambiar a ” la aplicación de autenticación o los métodos de clave de seguridad”.
No está claro qué sucederá si los usuarios no desactivan el SMS de dos factores antes de la nueva fecha límite. El mensaje dentro de la aplicación para los usuarios implica que las personas que aún tengan el SMS de dos factores activado cuando el cambio ocurra oficialmente el 20 de marzo no podrán acceder a sus cuentas. “Para evitar perder el acceso a Twitter, elimine la autenticación de dos factores de mensajes de texto antes del 19 de marzo de 2023”. Notificación
No obstante, la publicación de Twitter dice que la función de dos factores simplemente se deshabilitará el 20 de marzo si los usuarios no la ajustan antes de esa fecha.
“Después del 20 de marzo de 2023, ya no permitiremos que los suscriptores que no sean de Twitter Blue usen mensajes de texto como método 2FA. En ese momento, las cuentas con mensajes de texto 2FA aún habilitados lo tendrán deshabilitado”.
Twitter no respondió una solicitud de comentarios sobre lo que sucederá con las cuentas que aún tienen habilitado el SMS de dos factores el 20 de marzo. La compañía tampoco respondió preguntas sobre la posibilidad de que el cambio de política resulte en una pérdida significativa de la adopción de dos factores en la plataforma.
¿Twitter preocupado por la seguridad?
“A primera vista, esto suena como un buen grado de preocupación por la seguridad de los usuarios, pero si pagas por Twitter Blue. Y, por lo tanto, eres un cliente que se toma en serio su uso de Twitter y por quien Twitter debería preocuparse más, tú puedes continuar usando ese método de autenticación menos seguro. ¿Eh?. Y si no eres un suscriptor de Twitter Blue, y te degradan a solo autenticación basada en contraseña, ahora han tomado algo que pretende mejorar la seguridad de los usuarios y han hecho exactamente lo contrario”.
Jim Fenton, consultor independiente de seguridad y privacidad de identidad
El viernes por la noche, la cuenta de Twitter “T(w)itter Takeover News” se hizo eco de los comentarios de la empresa sobre el abuso de estafadores de 2FA basado en números de teléfono. La cuenta tuiteó que “Twitter cambió sus políticas… con respecto a la 2FA basada en SMS porque las empresas de telecomunicaciones usaron cuentas de bot para bombear SMS 2FA. Estaban perdiendo 60 millones de dólares al año en SMS fraudulentos”. Poco después, la cuenta de Twitter de Elon Musk respondió: “Sí”.
Musk ha dicho durante mucho tiempo que está en una guerra contra los bots de Twitter, pero le ha costado lidiar con la separación de los bots legítimos de los maliciosos. Mientras tanto, el mecanismo de dos factores de SMS de Twitter tuvo interrupciones y problemas de confiabilidad a mediados de noviembre en medio del caos dentro de la empresa durante los primeros días del liderazgo de Musk.
La eliminación de SMS de dos factores “podría disminuir de forma gradual los costos de Twitter al no requerir que Twitter le pague a algún proveedor de telecomunicaciones una fracción de centavo para enviar esos mensajes SMS”. No obstante, los ahorros de costos probablemente serían extremadamente menores.
Verdaderas alternativas
Fenton también señala que la medida tendría más sentido si Twitter también anunciara la compatibilidad con el nuevo mecanismo de autenticación conocido como “passkeys” que los gigantes tecnológicos han ido adoptando cada vez más como una forma de reducir la dependencia de los usuarios de las contraseñas.
“Básicamente, Twitter estaría diciendo que están sustituyendo un nuevo método de autenticación que tampoco requiere comprar una clave de seguridad de hardware. “Pero la excepción de Twitter Blue aún no tendría sentido”.
A medida que se desarrolla la situación, la gran pregunta es si algo de esto resultará en una mayor seguridad para las cuentas de los usuarios de Twitter.
“No creo que realmente sepamos si esto impulsará a las personas a seguir adelante y obtener una aplicación de autenticación o si mucha gente simplemente se dará por vencida con 2FA. En general, los usuarios no adoptan ampliamente la autenticación de dos factores a menos que se vean obligados a usarla. Creo que muchas otras empresas estarán atentas para ver si rechazar la 2FA de mensajes de texto es una buena idea o no”.
Si Twitter será transparente sobre los impactos de los cambios y publicará estadísticas actualizadas es otra cuestión completamente diferente.