Si alguna vez hubo una forma segura de amargar a los usuarios contra un sistema de autenticación de dos factores que ya tenía muchas fallas, Twitter la encontró. El martes, el sitio de redes sociales dijo que usó números de teléfono y direcciones de correo electrónico proporcionados para la protección 2FA para adaptar los anuncios a los usuarios.
Twitter requiere que los usuarios proporcionen un número de teléfono válido para ser elegible para la protección 2FA. Un número de teléfono celular que funcione es obligatorio incluso cuando la protección 2FA de los usuarios se basa únicamente en claves de seguridad o aplicaciones de autenticación, que no dependen de los números de teléfono para funcionar. Eliminar un número de teléfono de la configuración de Twitter de un usuario retira inmediatamente una cuenta de Twitter 2FA, como confirmé justo antes de publicar esta publicación.
Los defensores de la seguridad y la privacidad se han quejado durante mucho tiempo sobre este requisito, que no es una condición para usar la protección 2FA de Google, Github y otros sitios mejor clasificados. El martes, Twitter les dio a los críticos una nueva razón para quejarse. El sitio dijo que puede haber utilizado sin darse cuenta las direcciones de correo electrónico y los números de teléfono proporcionados para 2FA y otros fines de seguridad para vincular a los usuarios con las listas de marketing proporcionadas por los anunciantes. Twitter no dijo si la cantidad de usuarios afectados por el error fue de cientos o millones o cuánto duró la orientación incorrecta.
funcionarios de la empresa escribió:
No podemos decir con certeza cuántas personas se vieron afectadas por esto, pero en un esfuerzo por ser transparentes, queríamos que todos estuvieran al tanto. Nunca se compartió ningún dato personal externamente con nuestros socios ni con ningún otro tercero. A partir del 17 de septiembre, solucionamos el problema que permitió que esto ocurriera y ya no usamos números de teléfono o direcciones de correo electrónico recopilados con fines de seguridad para fines publicitarios.
Los defensores de la seguridad, incluido Matt Green, un profesor de Johns Hopkins especializado en criptografía, no perdieron el tiempo en criticar a Twitter por el error.
“Con toda seriedad: ¿de quién fue la idea de utilizar un valioso identificador de publicidad como entrada para un sistema de seguridad”, dijo escribió en Twitter. “Esto es como usar carne cruda para asegurar tu tienda contra los osos”.
Con toda seriedad: ¿de quién fue la idea de utilizar un valioso identificador publicitario como entrada a un sistema de seguridad? Esto es como usar carne cruda para asegurar su tienda contra los osos.
— Mateo Verde (@matthew_d_green) 8 de octubre de 2023
No todos los 2FA fueron creados iguales
La autenticación de dos factores se ha convertido en el medio más efectivo para proteger las cuentas contra el phishing y los llamados ataques de relleno de credenciales (este último usa contraseñas obtenidas en infracciones en un sitio para adivinar contraseñas en sitios no relacionados). Como sugiere el nombre, 2FA requiere un factor, por ejemplo, una clave de seguridad o una huella digital, además de una contraseña para iniciar sesión correctamente desde un dispositivo que nunca antes ha accedido a la cuenta.
En los últimos años, los profesionales de la seguridad se han alejado cada vez más de la 2FA basada en mensajes de texto SMS. Las razones: (1) los atacantes pueden tomar el control de los números de teléfono de los usuarios haciéndose pasar por los propietarios y haciendo que el operador intercambie la tarjeta SIM, y (2) los mensajes SMS pueden ser secuestrados a través de las debilidades en el protocolo de enrutamiento del Sistema de Señalización No. 7 que los operadores de telefonía celular utilizan para hacer que sus redes sean interoperables. Se sabe que los atacantes explotan activamente estas debilidades más de una vez. Un medio mucho más efectivo de 2FA se basa en claves de seguridad físicas que se conectan a través de interfaces USB o NFC o, menos seguras pero aún mejores que los SMS, contraseñas de un solo uso generadas por aplicaciones de autenticación. Twitter permite cualquier forma de 2FA. Ambos requieren que el usuario proporcione un número de teléfono.
Twitter señala que se avecina un cambio
Los representantes de Twitter se negaron a responder oficialmente por qué se requiere un número de teléfono para usar 2FA. Sin embargo, un representante dijo que el requisito se basa en experiencias anteriores en las que los usuarios con frecuencia perdían el acceso a otros métodos 2FA y se les bloqueaban las cuentas sin forma de recuperarlas. Los funcionarios de Twitter ahora reconocen que vincular 2FA a un número de teléfono no es ideal y están buscando formas de desacoplar los dos en el futuro.
El año pasado, Facebook fue denunciado por usar números de teléfono proporcionados por 2FA para enviar notificaciones que no estaban relacionadas con la seguridad. La red social dijo que el comportamiento fue el resultado de un error.
Si bien la 2FA basada en SMS no es ideal, sigue siendo mejor para la mayoría de las personas que ninguna 2FA, al menos cuando los servicios no usan números de teléfono con fines de marketing.