El último giro en la historia de Twitter desde que Elon Musk compró la compañía es uno de los más preocupantes hasta la fecha. En un movimiento realmente extraño, que parece anteponer la tacañería a la seguridad de la cuenta, Twitter ha anunciado que limitará el uso de la autenticación de dos factores (2FA) basada en SMS a los suscriptores de Twitter Blue a partir del 20 de marzo.
Twitter deshabilita SMS 2FA para la mayoría de los usuarios
En un aviso publicado en las páginas de autenticación de dos factores del centro de ayuda de Twitter, Twitter afirma que "a partir del 20 de marzo de 2023, ya no admitiremos la autenticación de dos factores mediante mensajes de texto para suscriptores que no sean de Twitter Blue". Con hasta 368 millones de usuarios mensuales activos, de los cuales se cree que menos de 300.000 están suscritos a Twitter Blue, eso deja a una gran cantidad de personas con la seguridad de la cuenta potencialmente debilitada.
De hecho, incluso si es un suscriptor de Twitter Blue, eso no significa que necesariamente podrá usar 2FA basado en SMS. El aviso de anuncio agregó que "la disponibilidad del mensaje de texto 2FA para Twitter Blue puede variar según el país y el operador".
Más locuras de seguridad en Twitter
Las cosas se ponen aún más raras cuando te das cuenta de que el propio Elon Musk tuiteó que las aplicaciones de autenticación son "mucho más seguras que los SMS".
Esto sugeriría que está ofreciendo a los suscriptores de Twitter Blue una peor seguridad a cambio de su dinero. La verdad, sin embargo, es mucho más preocupante. Cuando se trata de 2FA basado en SMS, "su amplia aceptación entre la población en general lo convirtió en una característica de seguridad de gran valor", dice Andy Kays, director ejecutivo de Socura, especialistas en detección de amenazas.
Esto a pesar de las fallas inherentes que, de hecho, la convierten en una opción menos segura que usar una aplicación de autenticación o una clave de seguridad de hardware como un segundo factor de autenticación de la cuenta. "A corto plazo, la eliminación de 2FA podría ser perjudicial, especialmente entre los usuarios de redes sociales menos expertos en tecnología", advierte Kays, argumentando que "la mayoría de la gente pasará de usar SMS 2FA a no usar ningún tipo de 2FA".
El dinero probablemente sea el motivo detrás de este movimiento
El razonamiento oficial detrás de la interrupción de SMS 2FA para la mayoría de los usuarios se hace eco del tweet de Musk sobre que es menos seguro que las aplicaciones de autenticación.
“Los suscriptores que no sean de Twitter Blue y que ya estén inscritos tendrán 30 días para desactivar este método e inscribirse en otro. Después del 20 de marzo de 2023, ya no permitiremos que los suscriptores que no sean de Twitter Blue usen mensajes de texto como método 2FA”.
Es probable que otra razón, quizás más apremiante, sea financiera. Habría pedido comentarios a la oficina de prensa de Twitter, pero ya no existe, lo que lo hace bastante difícil. Sin embargo, se sabe que el uso de SMS para enviar mensajes de texto 2FA tiene un costo, al igual que se sabe que Twitter ha estado perdiendo dinero desde la adquisición de Musk. Después de todo, si la seguridad más débil fue la razón detrás del cambio, ¿por qué dejar a los clientes que pagan peor, en términos de seguridad, que a los que usan el servicio de forma gratuita?
La seguridad de Twitter se acaba de debilitar para casi 368 millones de usuarios
Sea lo que sea, el efecto es simple: la seguridad de Twitter se acaba de debilitar para cientos de millones de usuarios. Y eso, querido lector, nunca es bueno. En un mundo ideal, todos usarían una clave de autenticación física, de hardware. No vivimos en un mundo ideal. Las aplicaciones de autenticación son un buen segundo lugar para las claves físicas, son gratuitas y funcionan bien. Pero, para el usuario medio, la comodidad supera a la seguridad.
Es por eso que 2FA basado en SMS es tan popular. Es 'lo suficientemente seguro' para la gran mayoría de los casos de uso, y es preferible a ninguna cuenta 2FA en absoluto. Sin un segundo factor de autenticación, las cuentas se vuelven mucho más fáciles de controlar si las contraseñas se ven comprometidas. Al igual que muchos en el espacio de seguridad, me quedo rascándome la cabeza sobre por qué quienquiera que haya firmado en Twitter pensó que esto era un buen movimiento.
*Nota publicada originalmente en Forbes EE.UU.