Twitter en un informe realizado con datos del año julio a diciembre de 2020 ha revelado que la mayor parte de sus usuarios no utilizan el sistema de autenticación en 2 pasos (2FA), una de las mejores formas para proteger tu cuenta de Twitter.
El informe se enfoca en mostrar estadísticas sobre como los usuarios de Twitter protegen sus cuentas. Sabiendo el nombre de un usuario de Twitter se puede llegar a saber su contraseña puesto que no es más que una cadena de caracteres alfanuméricos. Por muy complicada que pongas tu contraseña, nunca vas a tener la seguridad al 100% que proteja tu cuenta. Por ese motivo es muy importante que la seguridad en nuestras redes sociales sea como una cebolla por capas, y que añadas capas de protección para que nadie robe tu cuenta.
Una capa más de protección
La utilización del segundo factor de autenticación es una de esas capas comentadas anteriormente que ayuda a proteger tu cuenta. Mantener tu cuenta segura es una parte importante del uso de Twitter. El propio Twitter recomienda a sus usuarios que tomen medidas de precaución para protegerse, pero en vista de este informe quizás los usuarios no se están esforzando lo suficiente.
Internet es un lugar lleno de peligros. Cada día sale alguna nueva amenaza y a diferencia de hace unos años en los que la principal amenaza eran los virus informáticos (los cuales solían tener un tono de broma o destructivo), hoy en día, la mayor parte de los peligros de internet es el robo de nuestros datos. Somos nuestros datos y tenemos que velar por mantenerlos a salvo.
Twitter empezó a publicar estadísticas sobre protecciones de seguridad que utilizan sus usuarios en las cuentas de Twitter y este informe es una muestra de ello. Hacerlo proporciona los datos necesarios para que los investigadores y profesionales de la seguridad continúen mejorando el estado de la seguridad de las cuentas en Internet.
En qué consiste el 2FA
La autenticación de dos factores (2FA) es una de mejores protecciones para mantener tu cuenta de Twitter a salvo. Habilitar 2FA asegura que incluso si la contraseña de su cuenta se ve comprometida (tal vez debido a la reutilización de su contraseña de Twitter en otros sitios web menos seguros), los atacantes aún no podrán iniciar sesión en tu cuenta al no tener acceso a un dispositivo que llevas contigo que confirma que eres tu.
Twitter admite varios tipos de autenticación de dos factores. Estos incluyen enviar un código único al número de teléfono vinculado a una cuenta (mensaje de texto / SMS), usar una aplicación móvil para generar un código único (aplicación de autenticación) o usar una clave de seguridad (las más adecuada). En general, 2FA basado en SMS es el menos seguro debido a su susceptibilidad a ataques de robo de SIM y phishing.
Datos del informe
El informe dice que solo el Solo el 2,3% de las cuentas de Twitter utilizan 2FA. ¿Por qué? Hay varias causas, pero quizás la fundamental es que la experiencia del usuario es lamentable al poner un muro delante tuyo que tienes que bajar para poder protege tu cuenta. Tienes que configurar tu mismo un proceso de dos pasos para poder utilizar tu cuenta y a veces no tienes tiempo para hacerlo o te parece un proceso largo.
Además, los tipos de 2FA que utiliza twitter son 3: SMS, aplicación que autentica (auth app) y clave de seguridad (security key). El segundo factor más utilizado es la utilización de un mensaje de texto al teléfono asociado a la cuenta. Sin embargo, como se ha comentado este tipo de segundo factor no es el mejor puesto que el dispositivo se puede haber visto comprometido por un ataque de phishing o un robo de sim.
Resumen
La seguridad en internet no existe al 100%. Nadie te puede garantizar que una cuenta que tienes en internet es segura. Incluso el año pasado hubo un robo de cuentas de Twitter para una estafa de bitcoins que consiguió saltarse todo el sistema de autenticaciones de los usuarios (véase Robos de identidad en Twitter para conseguir bitcoins). Estoy seguro que esas cuentas hackeadas tenían la mayoría el 2FA y no sirvió para mucho si los ciberdelincuentes son capaces de entrar en los sistemas internos de una empresa de internet.
Es muy necesario utilizar todas las protecciones posibles para mantener nuestros datos a salvo. Cuantas más capas de protección podamos poner entre nosotros y el atacante mejor.