Home Sociedad Twitter permitirá activar la autenticación de dos factores, sin número de teléfono

Twitter permitirá activar la autenticación de dos factores, sin número de teléfono

Los usuarios de Twitter ya no tienen que proporcionar un número de teléfono para utilizar la verificación de dos pasos para la autenticación.

La medida, anunciada el jueves último, ayudará a proteger mejor las cuentas que pueden ser objeto de los llamados ataques de intercambio de SIM o de secuestro, en los que los atacantes toman el control del número de teléfono de un objetivo y luego interceptan todos los códigos de dos factores que se le envían.

El cambio también permitirá a los usuarios mantener una mayor seguridad sin divulgar más información a Twitter. Anteriormente, el servicio de “microblogging” se llamaba por el uso de números de teléfono que había recogido para la publicidad dirigida. Para los usuarios conscientes de la privacidad que desean 2FA, no divulgar su número de teléfono a Twitter también significa que las autoridades no pueden acceder a él a través de solicitudes legales.

Queremos ofrecerte la experiencia más segura en Twitter. Hoy, hemos actualizado nuestro proceso de inicio de sesión para que sea compatible con WebAuthn para una autenticación de dos factores (2FA) mejorada, de modo que pueda autenticar su inicio de sesión de forma fácil y segura con un solo toque.

Las noticias del cambio 2FA llegan cuando Twitter está buscando una serie de mejoras de seguridad, incluyendo el intento no sólo de mejorar la seguridad a nivel de usuario, sino también de reducir el número de cuentas falsas y hacer que la red social sea menos hospitalaria para las campañas de desinformación.

Una víctima reciente del secuestro de la tarjeta SIM fue nada menos que el director ejecutivo de Twitter, Jack Dorsey. El 31 de agosto, su cuenta de Twitter comenzó a publicar tweets racistas y profanos, incluyendo un retweet de un mensaje de un negador del Holocausto, así como una -gracias a Dios- amenaza de bomba en la sede de Twitter en San Francisco.

Twitter dijo que el número de teléfono asociado a la cuenta de Dorsey “estaba comprometido debido a una supervisión de seguridad por parte del proveedor de telefonía móvil” y que el ataque no se extendió a sus sistemas internos.

Desde 2016, el Instituto Nacional de Estándares y Tecnología de Estados Unidos ha recomendado no enviar nunca códigos de dos factores por SMS. Sin embargo, a pesar de estos consejos, muchos servicios en línea siguen ofreciendo una opción de entrega de SMS para códigos 2FA.

Twitter, sin embargo, comenzó a soportar aplicaciones de autenticación de terceros en diciembre de 2017 y ahora soporta opciones como Google Authenticator, Authy, Duo Mobile y 1Password. Los usuarios también pueden utilizar claves de hardware, como una Yubikey, para proporcionar un segundo factor de autenticación.

El uso de aplicaciones para la verificación de dos factores es más seguro que recibir un código de acceso de una sola vez vía SMS. Las aplicaciones generan localmente su propio código, lo que significa que no se envía por aire y por lo tanto es difícil de interceptar o robar. Anteriormente, sin embargo, incluso si los usuarios optaban por códigos de dos factores que no fueran SMS, Twitter seguía exigiendo a los usuarios que proporcionaran un número de teléfono.

A principios de octubre, sin embargo, Twitter admitió que los números de teléfono que había reunido por motivos de seguridad también se utilizaban para campañas publicitarias específicas. Twitter dijo que tal uso fue inadvertido y se disculpó.

Twitter indicó que los números de teléfono se utilizaron como parte de su programa de publicidad Tailored Audiences. Las empresas pueden subir listas de clientes a Twitter, con toda la información en hash. Twitter compara el hash enviado con los hash de los datos de su base de usuarios para encontrar coincidencias que ofrezcan una colocación de anuncios más precisa. Sin embargo, ninguna de las partes ve los datos en texto plano de la información que tiene la otra parte.

Esta no es la primera vez que la información de seguridad ha sido reutilizada por una red social con fines publicitarios. En julio, la Comisión Federal de Comercio de Estados Unidos impuso a Facebook una multa de 5.000 millones de dólares por una serie de fallos de privacidad y seguridad, incluido el uso de los números de teléfono proporcionados para la seguridad de la publicidad dirigida. Los reguladores dijeron que la decisión de Facebook de reutilizar los datos podría haber sido considerada un uso secundario de los mismos, lo que podría entrar en conflicto con los principios de privacidad.

El requisito anterior de Twitter de que los usuarios enviaran un número de teléfono si querían mejores controles de seguridad también suponía un gran inconveniente para los usuarios que querían mantenerse más privados.

Con información de: Genbeta.