En entredicho el sistema de autenticación de doble factor de Twitter
El sistema de autenticación de doble factor anunciado la semana pasada por Twitter no es efectivo. Eso es lo que asegura F-Secure, que considera que podría ser utilizado por hackers para bloquear las cuentas.
La semana pasada, y tras sufrir varios ataques de alto nivel, Twitter decidió introducir la autenticación de doble factor en sus sistemas para que los usuarios puedan proteger sus cuentas mediante el registro de su número de teléfono y dirección de correo electrónico. Sin embargo, el sistema ya ha sido blanco de las primeras críticas, como las vertidas por F-Secure, que asegura que podría ser utilizado por hackers para bloquear las cuentas de usuario.
Sean Sullivan, asesor de seguridad de F-Secure, afirma que, en realidad, los hackers podrían abusar de esta función con el objetivo de prolongar el acceso no autorizado a las cuentas que no tienen instalado la autenticación de doble factor. El asesor asegura que un atacante que robe alguna de las credenciales, a través de métodos como el phishing entre otros, podrían asociar un número de teléfonos de prepago con la cuenta de Twitter de esa persona y, después, habilitar la autenticación de doble factor. Si eso sucede, el “propietario real” de la cuenta de Twitter no podrá recuperar su cuenta de la forma más sencilla (a través del restablecimiento de la contraseña) y tendrá que ponerse en contacto con el soporte de Twitter.
Esto es posible debido a que Twitter no utiliza ningún método adicional para verificar quién es el que accede a la red social con lo que, cualquiera que entra en la red social de la Web tiene acceso a la autenticación de doble factor. De esta forma, según Sean Sullivan, cuando la opción “seguridad de la cuenta” es habilitada por primera vez, Twitter pregunta a los usuarios si estos han recibido con éxito un mensaje de prueba enviado a su teléfono. Un usuario puede dar a la opción de “si” incluso si no recibeel mensaje.
Para Sean Sullivan, lo que tendría que hacer Twitter es enviar un mensaje de correo electrónico a la dirección asociada a la cuenta, de tal forma que el usuario tuviera que hacer click para confirmar la autenticación de doble factor.
Además de F-Secure, otros investigadores de seguridad creen que este sistema no es práctico para compañías cuyos equipos de social media estén geográficamente dispersos y no compartan un número de teléfono para la autenticación.
