¿Qué tan insegura es Twitter ahora que no tiene verificación por mensaje de texto?
Elon Musk decidió convertir la función de verificación de dos pasos por mensaje de texto en algo exclusivo para quienes pagan Twitter Blue. ¿Estamos más expuestos a casos de hackeos de cuentas, suplantación de identidad y estafas?
Diego Ojeda
La seguridad informática es algo que cobra más y más protagonismo con el paso de los años. Se puede decir que su auge es directamente proporcional al crecimiento que ha tenido la digitalización en diversas áreas de nuestro día a día, y esto incluye, por supuesto, a las redes sociales.
Gánale la carrera a la desinformación NO TE QUEDES CON LAS GANAS DE LEER ESTE ARTÍCULO
¿Ya tienes una cuenta? Inicia sesión para continuar
La seguridad informática es algo que cobra más y más protagonismo con el paso de los años. Se puede decir que su auge es directamente proporcional al crecimiento que ha tenido la digitalización en diversas áreas de nuestro día a día, y esto incluye, por supuesto, a las redes sociales.
La autenticación de dos pasos es un término que, aunque ha cobrado popularidad, aún es desconocido para muchos. Hay una forma sencilla de entenderlo, y es con la puerta de su casa. Imagine que usted tiene una sola cerradura; en una red social, esto vendría a ser lo básico, es decir, el usuario y contraseña para iniciar sesión.
No obstante, usted puede ponerle más seguridad a su puerta adicionando una segunda cerradura; lo que en una red social, correo electrónico, el portal transaccional de un banco, u otra plataforma que contenga datos personales sensibles se conoce como una verificación o autenticación de dos pasos.
Lea también: ¿Qué es el doxing y por qué debería cuidar lo que publica en sus redes sociales?
Un segundo factor de autenticación (o una segunda llave, si se quiere seguir con la analogía de la puerta) suele ser un código enviado a un correo electrónico, a una aplicación de mensajería instantánea o, el más usado, un mensaje de texto al número de teléfono asociado a la cuenta a la que se busca ingresar.
Con esto, aunque un atacante logre robar o descifrar su usuario y contraseña, de todas formas necesitará el acceso a ese segundo factor para tener un ingreso exitoso. De allí que la recomendación que hacen los expertos de seguridad informática es que todos, sin excepción, tengamos configurada la seguridad de nuestras plataformas con esta función.
Aunque en todas las plataformas esta función es gratis, hace unos días Elon Musk decidió comenzar a cobrar por el uso de la que se hace por medio de mensaje de texto en Twitter.
La explicación, que se encuentra en el blog de la compañía, confunde más que aclarar: “si bien históricamente esta ha sido una forma popular de autenticación en dos pasos, desafortunadamente hemos visto que los malos actores usan y abusan de la misma por estar basada en números de teléfono. Entonces, a partir de hoy, ya no permitiremos que las cuentas se inscriban en el método de mensaje de texto/SMS, a menos que sean suscriptores de Twitter Blue”.
En suma, Twitter argumenta que la retira por considerarla insegura, pero a la vez resalta que será exclusiva para la comunidad de usuarios premium. Si es tan mala ¿por qué se ofrece a aquellos que, en teoría, deberían experimentar un mejor servicio?
Le puede interesar: Cuidado con los ataques térmicos: así roban contraseñas de cajeros y celulares
Lo cierto es que no existe un método de seguridad informática 100 % infalible. Y sí, la autenticación de dos pasos por mensaje de texto puede ser burlada. Hace unos meses informamos en El Espectador la forma en la que se están aprovechando de estas falencias para robar cuentas de Whatsapp. Básicamente, le envían un mensaje a la víctima (suplantando la identidad de Whatsapp) diciéndole que se ha detectado una actividad sospechosa en su cuenta y que, para evitar la suspensión de la misma, debe poner en el chat el código de seguridad que le ha llegado por SMS. (Al final de este artículo encontrará algunas recomendaciones para evitar morder el anzuelo de los cibercriminales).
Calma, no se acaba la autenticación de dos pasos en Twitter
Como lo explica Eduardo Chavarro Ovalle, especialista en seguridad informática de la firma Kaspersky, Twitter no está dejando desprotegidos a sus usuarios, pues aún hay por lo menos un par de autenticadores de dos pasos disponibles.
“Podemos movernos al uso de aplicaciones de autenticación como el Google Authenticator, o también utilizar las llaves de seguridad que genera el mismo producto de Twitter, o por medio de una aplicación de un sistema que ya tenga instalado que genere unos códigos para poder autenticar en otros dispositivos, ya sea en sistemas de escritorio o en dispositivos móviles”, explica el experto.
Le sugerimos leer: ¿Qué es el derecho al olvido y cómo funciona en Colombia?
De forma nativa, Twitter sigue teniendo dos métodos de autenticación de dos pasos gratuitos (los cuales se pueden activar por medio de los ajustes de privacidad de la plataforma social).
La primera de estas es mediante una aplicación de autenticación, como lo puede ser Google Authenticator, Duo Mobile y 1 Pasword, entre otras. Mediante el escaneo (desde nuestros teléfonos) de un código QR, la aplicación se enlazará con la cuenta de Twitter, de tal manera que cuando se vaya a iniciar sesión, la red social enviará un código de verificación a esta aplicación, el cual deberá ser ingresado por el usuario para acceder de forma exitosa.
Lo que hacen estas aplicaciones es que generan códigos de seguridad que se crean y caducan cada 15 segundos, de allí que se considere como una de las medidas de autenticación de dos pasos más seguras.
La segunda alternativa que ofrece Twitter es la de la llave de seguridad. Esta requiere de un elemento físico, como lo puede ser una USB o un dispositivo con conectividad NFC que, al acercarlo o conectarlo al equipo desde donde se quiere iniciar sesión brindará el acceso al usuario.
Hay que decir que estos métodos representan una desventaja en comparación con el de SMS, y es que dependen de que el usuario tenga acceso a un objeto físico o a datos móviles. Aunque Twitter ofrece que, en la opción de aplicación de autenticación, el usuario tenga un código que funciona como llave maestra para acceder a su cuenta en caso de que no pueda acceder a una de estas apps. Dicho código debe almacenarse en un lugar seguro, pues si cae en malas manos puede ser usado con propósitos maliciosos.
¿Twitter ahora es más insegura?
No necesariamente. Como lo hemos visto, la plataforma sigue ofreciendo alternativas para tener autenticaciones de dos pasos que mitiguen el riesgo de hackeo. Sin embargo, y como lo señala Chavarro, está la posibilidad de que un usuario que no sea premium desactive (o el sistema le desactive) la autenticación de dos pasos por medio de mensajes de texto sin que se active cualquiera de las otras formas de autenticación.
En ese escenario sí podríamos decir que la plataforma será más insegura, pues no deja de ser cierto que la activación de un método de autenticación de dos pasos es un proceso manual y que puede llegar a ser engorroso para muchos.
Lea también: ¿Qué son los datos personales y por qué deberían importarnos? | Pódcast
No está demás decir que la invitación es a que ahora mismo vaya y configure esa opción de seguridad en su cuenta de Twitter.
Hackeo de cuentas, un riesgo latente
Además de la suplantación de identidad (cuentas falsas que se hacen pasar por otras), el hackeo de cuentas hace parte de los riesgos más presentes en todas las redes sociales.
El especialista de seguridad informática asegura que los principales blancos de ataque son usuarios con un alto número de seguidores. “Recientemente, vimos cómo una cuenta de Twitter de un medio en Latinoamérica fue comprometida y fue utilizada para difundir un fraude relacionado con cripto divisas y a algunas actividades financieras y que por supuesto iban a afectar los recursos de las personas que se involucran en estas actividades. Adicionalmente, hay otra serie de oportunidades que utilizan los atacantes, por ejemplo, en nombre de un usuario con un amplio número de seguidores, convocar a la persona para recoger fondos para una actividad una fundación específica y ellas transfieren esos fondos porque confían en la persona que está haciendo esta solicitud y, desafortunadamente, se han presentado casos de fraude”, detalla.
Otros posibles móviles para hackeos de cuentas obedecen a intereses de espionaje, extorsiones, suplantaciones de identidad y venganzas.
Este es un riesgo del que nadie se encuentra exento, y es por eso que hay que implementar una serie de recomendaciones para evitar convertirse en víctima.
¿Cómo evitar morder el anzuelo de los cibercriminales?
Son diversas las medidas que se pueden adoptar para reforzar la seguridad informática en redes sociales (estos consejos no solo aplican para Twitter). Tal vez lo más importante sea no fiarse de nada ni de nadie.
Desconfíe
Desde el ejercicio periodístico que hemos hecho en El Espectador con víctimas de hackeo de cuentas, hemos visto que muchas de esas fueron hackeadas mediante la modalidad de phishing.
Hay que recordar que el phishing es una táctica de ingeniería social mediante la cual los atacantes suplantan identidades. Por ejemplo, pueden enviar correos haciéndose pasar por Instagram pidiéndo sus usuarios y contraseñas para evitar suspensiones de cuentas. Son muchos los que muerden el anzuelo y comparten esta información sensible.
Nunca una red social le va a pedir este tipo de información por correos electrónicos, mensajes de texto o cualquier otra aplicación. Asegúrese que siempre que digite este tipo de información sea en los sitios oficiales de las plataformas, y no en páginas web con URL extrañas.
Utilice autenticación de dos pasos
Aunque no es un método 100 % infalible, sí reduce considerablemente el riesgo de hackeo. Úselo, teniendo en cuenta lo dicho en este artículo.
Cree contraseñas seguras
La computación ha avanzado a tal punto que hay programas que pueden llegar a descifrar contraseñas en cuestión de segundos o minutos. Sin embargo, es más difícil cuando las contraseñas son largas e incluyen combinaciones entre mayúsculas y minúsculas, además de caracteres especiales. En otras palabras, en este ámbito el tamaño sí importa.
Le puede interesar: No las use: estas fueron las 10 contraseñas más usadas en Colombia en 2022
No comparta la misma contraseña en plataformas diferentes. Sabemos que es complejo memorizar más de una o dos contraseñas seguras, y que esta es una de las razones por las que muchos nos sentimos tentados a compartir contraseñas. Sin embargo, existen herramientas como los bancos de contraseñas (dispositivos como los iPhone ya las tienen instaladas) las cuales no puede crear contraseñas seguras y gestionarlas, por medio de mecanismos de autenticación como reconocimiento facial y de huellas dactilares.
Recuerde que, así como en la calle, también debemos implementar medidas de seguridad en internet. La información y educación sobre seguridad informática es la mejor arma que tenemos para hacerle contrapeso a los cibercriminales.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.