Twitter anunció el viernes que, a partir del 20 de marzo, solo permitirá a sus usuarios proteger sus cuentas con mensajes basados en SMS. Autenticación de dos factores si pagan una suscripción a Twitter Blue. La autenticación de dos factores, o 2FA, requiere que los usuarios inicien sesión con un nombre de usuario y contraseña y luego un “factor” adicional, como un código numérico. Los expertos en seguridad han aconsejado durante mucho tiempo que las personas usen una aplicación generadora para obtener estos códigos. Pero recibirlos en mensajes de texto SMS es una alternativa popular, por lo que eliminar esa opción para los usuarios que no pagan ha dejado a los expertos en seguridad rascándose la cabeza.
El movimiento de dos factores de Twitter es el último de una serie de cambios de política controvertidos desde que Elon Musk adquirió la compañía el año pasado. El servicio pago Twitter Blue, la única forma de obtener una marca de verificación azul verificada en las cuentas de Twitter ahora, cuesta $ 11 por mes en Android e iOS y menos para una suscripción solo de escritorio. Los usuarios que se desconecten de la autenticación de dos factores basada en SMS tendrán la opción de cambiar a una aplicación de autenticación o una clave de seguridad física.
“Si bien históricamente es una forma popular de 2FA, desafortunadamente, hemos visto que los malos actores usan y abusan de la 2FA basada en números de teléfono”, escribió Twitter en un comunicado. entrada en el blog publicado el viernes por la noche. “Entonces, a partir de hoy, ya no permitiremos que las cuentas se inscriban en el método de mensaje de texto/SMS de 2FA a menos que sean suscriptores de Twitter Blue”.
En un informe de julio de 2022 sobre la seguridad de la cuenta, Twitter dijo que solo el 2.6 por ciento de sus usuarios activos tienen habilitado algún tipo de autenticación de dos factores. De esos usuarios, casi el 75 por ciento usaba la versión SMS. Casi el 29 por ciento usaba aplicaciones de autenticación y menos del 1 por ciento había agregado una clave de autenticación física.
La autenticación de dos factores basada en SMS no es segura porque los atacantes pueden secuestrar los números de teléfono de los objetivos o utilizar otras técnicas para interceptar los mensajes de texto. Pero los expertos en seguridad han enfatizado durante mucho tiempo que usar SMS de dos factores es significativamente mejor que no tener habilitado un segundo factor de autenticación.
Cada vez más, los gigantes tecnológicos como Apple y Google han eliminado la opción para los usuarios de dos factores de SMS y han hecho la transición (generalmente durante muchos meses o años) a otras formas de autenticación. A los investigadores les preocupa que el cambio de política de Twitter confunda a los usuarios al darles tan poco tiempo para completar la transición y hacer que los SMS de dos factores parezcan una función premium.
“El blog de Twitter tiene razón al señalar que los malos abusan con frecuencia de la autenticación de dos factores que utiliza mensajes de texto. Estoy de acuerdo en que es menos seguro que otros métodos 2FA”, dice Lorrie Cranor, directora del laboratorio de seguridad y privacidad utilizable de Carnegie Mellon. “Pero si su motivación es la seguridad, ¿no querrían mantener seguras las cuentas pagas también? No tiene sentido permitir el método menos seguro solo para cuentas pagas”.