Yahoo Noticias Por qué escuchar lo que Twitter dice sobre la autenticación de dos factores
Twitter acaba de poner en marcha un importante cambio que afectará la forma en que la mayoría de la gente protege sus cuentas. La empresa comunicó a los usuarios que no pagan que pronto tendrían que dejar de utilizar una popular función de seguridad: la autenticación de dos factores a través de mensajes de texto.
Permíteme explicarte por qué esto no es tan malo como podrías temer.
En lenguaje llano, la autenticación de dos factores requiere dos pasos de seguridad para verificar que eres quien dices ser. El primer paso te pide un nombre de usuario y una contraseña y el segundo requiere que introduzcas un código temporal que te envían o que te conectes a una llave de seguridad física. De este modo, aunque alguien tenga tu contraseña, esa persona tendrá que cumplir el segundo paso para acceder a tu cuenta.
El anuncio de este cambio por parte de Twitter en un principio fue confuso y alarmante para muchos. Pero, para que quede claro, Twitter está presionando a los usuarios para que adopten medidas de seguridad más estrictas y ha creado una oportunidad para que todos mordamos el anzuelo y mejoremos la seguridad de nuestras cuentas en línea.
Twitter ha anunciado en un blog que los usuarios no suscritos a su servicio Twitter Blue ya no podrán utilizar los mensajes de texto como forma de verificación a partir del 20 de marzo. Los usuarios no abonados pueden cambiar a otras técnicas de verificación con formas de seguridad más sólidas. Las alternativas consisten en utilizar una aplicación de terceros para generar un código temporal o introducir una clave de seguridad autorizada para acceder a la cuenta.
“El uso de aplicaciones de verificación gratuitas para la autenticación de dos factores seguirá siendo gratuito y son mucho más seguras que los mensajes de texto”, tuiteó Elon Musk, propietario de Twitter.
Según Casey Ellis, director de tecnología de la empresa de seguridad Bugcrowd, Twitter tenía razón al señalar los fallos de la verificación por SMS. “En realidad, tiene sentido, pero no se ha ejecutado de forma limpia”, afirmó Ellis.
Sin embargo, el planteamiento de Twitter tiene sus inconvenientes, añadió. La verificación mediante mensajes de texto ha sido la herramienta de seguridad más sencilla de utilizar para la inmensa mayoría de la gente. Las otras técnicas requieren pasos adicionales para su configuración.
Cambiar a los otros métodos de seguridad no es intuitivo, por lo que existe el riesgo de que muchos usuarios de Twitter que no pagan recurran a saltarse por completo la autenticación de dos factores.
No obstante, en medio de todo esto hay una valiosa oportunidad para aprender acerca de los métodos más fuertes de autenticación de dos factores y por qué debemos considerar el uso de uno de ellos, siempre que sea posible, en lugar de la seguridad basada en mensajes de texto para todas nuestras cuentas en línea. Esto es lo que necesitas saber sobre cada método, así como sus pros y contras.
Autenticación por mensajes de texto
Durante muchos años, Twitter y otros sitios han animado a los usuarios a configurar la autenticación de dos factores a través de mensajes de texto. Este método envía un código de seguridad sensible al tiempo al teléfono del usuario. Ha sido la forma más utilizada de verificación de doble factor porque prácticamente todo el mundo tiene un celular, de modo que hasta la persona menos experta en tecnología podía entenderlo.
Pero, con el tiempo, los investigadores de seguridad han descubierto que la verificación por SMS es cada vez más problemática. Un mensaje de texto que contenga un código de seguridad podría ser interceptado por alguien que haya secuestrado tu número de teléfono, una estafa conocida como cambio de SIM. Así es como los hackers entraron en la cuenta de Twitter del ex director ejecutivo de la compañía, Jack Dorsey, en 2019.
Hay más problemas. Un mensaje de texto no está cifrado, por lo que puede ser un riesgo para la seguridad recibir textos en redes extranjeras en países con fuerte vigilancia como China y Rusia. Además, si viajas fuera de Estados Unidos, recibir mensajes de texto en una compañía extranjera puede salirte caro.
Los investigadores de seguridad siguen descubriendo nuevos fallos en la autenticación basada en mensajes de texto, por lo que podemos esperar que más sitios y aplicaciones alejen a los usuarios de la recepción de códigos a través de mensajes de texto, sugirió Ellis.
Aplicaciones de autenticación
Esto nos lleva a las aplicaciones de autenticación, que se descargan en el celular o la computadora. Generan códigos de seguridad temporales (en lugar de enviarlos por mensaje de texto al teléfono) que se introducen para acceder a las cuentas y aplicaciones en línea.
Utilicemos Twitter y la aplicación Google Authenticator como ejemplo.
- En primer lugar, descarga la aplicación Google Authenticator en tu teléfono. A continuación, en Twitter.com desde una computadora, haz clic en Más→Seguridad y acceso a la cuenta→Autenticación de dos pasos→Aplicación de autenticación.
- A partir de aquí, sigue los pasos de Twitter. Se te pedirá que utilices la aplicación Authenticator para escanear un código QR con la cámara de tu celular, lo que vinculará la aplicación con tu cuenta de Twitter y empezará a generar códigos de seguridad.
Cuando inicies sesión en Twitter, introducirás tu nombre de usuario y contraseña y, a continuación, abrirás la aplicación Authenticator para buscar el código temporal. La gran desventaja de usar verificadores es que, si pierdes tu teléfono o cambias a uno nuevo, puede ser complicado recuperar el acceso a tus cuentas. Normalmente, un sitio o una aplicación como Twitter te permitirán recuperar el acceso a tu cuenta con un código de copia de seguridad. En la configuración de autenticación de dos factores de Twitter, un menú llamado “códigos de copia de seguridad” generará un código que te permitirá volver a iniciar sesión. Asegúrate de anotar este código y guardarlo en un lugar seguro.
Esta técnica requiere tiempo y esfuerzo mental para configurarla correctamente y acostumbrarse a ella, pero en general es mejor. Es mucho más difícil que alguien secuestre tu dispositivo para ver tus códigos de seguridad que interceptar un mensaje de texto.
Claves de seguridad
El tercer método —el uso de una llave de seguridad física en forma de memoria USB que se inserta en la computadora o el celular para iniciar sesión— es el más seguro de todos. No es probable que esta técnica se adopte de forma generalizada porque la llave cuesta dinero y, si la pierdes, puede ser difícil recuperar el acceso a tu cuenta.
Pongamos como ejemplo la clave de seguridad Titan de Twitter y Google.
— En primer lugar, tienes que comprar una clave de seguridad. Google vende su clave de seguridad Titan por 30 dólares; incluye un par de claves para distintos tipos de computadoras y celulares.
— A continuación, en Twitter.com desde una computadora, haz clic en Más→Seguridad y acceso a la cuenta→Autenticación de dos pasos→Clave de seguridad.
— A partir de aquí, sigue las instrucciones de Twitter, que te guiarán para conectar la llave a un puerto USB y pulsar un botón para verificar la clave.
A continuación, Twitter mostrará una pantalla con un código de seguridad por si pierdes la clave. Guárdala en un lugar seguro.
Un poco complicado, ¿no? Aun así, puede ser útil para personas que trabajan en campos muy sensibles, como agencias gubernamentales y activismo.
Conclusión
En conclusión, la aplicación Authenticator es un método de dos pasos relativamente cómodo y muy seguro. Recomiendo a la mayoría de la gente que elija una aplicación, como Google Authenticator, Authy o Microsoft Authenticator, y se ciña a ella. Todas funcionan igual.
Puede tomar algo de tiempo configurar una aplicación de autenticación con todas tus cuentas en línea, pero solo tienes que hacerlo una vez. Y, a la larga, puede ahorrarte tiempo, porque iniciar sesión en sitios con este método puede ser más rápido que esperar a que lleguen los mensajes de texto.
c.2023 The New York Times Company
