Un equipo de investigadores de seguridad independientes venezolanos (nombres protegidos por seguridad) reveló una grave debilidad en la implementación del sistema 2FA (verificación en dos pasos) en el servicio de Twitter este pasado Lunes.
Así funciona la estrategia:
La vulnerabilidad permite que con tan solo un código de 6 dígitos (enviado vía SMS) se obtenga acceso a cualquier cuenta de Twitter, AUN sin conocer la contraseña e independientemente de si el usuario ha configurado o no 2FA para enviar las alertas 2FA a la aplicación.
Un intruso solo necesita interceptar los mensajes SMS para obtener estos códigos, tarea relativamente sencilla si se conocen los medios para lograrlo o si se tiene acceso al proveedor.
El modo en que los intrusos están vulnerando las cuentas en Twitter en Venezuela consiste en enviar un mensaje privado (desde cuentas comprometidas de periodistas, artistas y famosos) y solicitar un “WhatsApp” o número de teléfono en Venezuela de la víctima ya que su número celular es lo único que necesitan para vulnerarlos.
Debe estar MUY alerta si recibe un mensaje privado solicitando su WhatsApp o número de teléfono, especialmente si esta solicitud proviene de una figura reconocida.
Twitter ha sido notificado de la vulnerabilidad y se encuentra trabajando activamente en una solución.
¿Cómo protegerse de esto?
Twitter aún no ofrece 2-Step Verification o Verificación de 2 Pasos a través del uso de aplicaciones de terceros como Google Authenicator o Authy, ofrece Verificación de 2 Pasos a través de SMS o Mensajes de Texto, por tanto, por ahora el ÚNICO método efectivo contra este problema es utilizar verificación en dos pasos (2FA) con un número en el exterior.
Pero…¿Que es la Verificación de Dos Pasos o 2-Step Verification (en inglés)?
Para acceder a una cuenta de correo con un sistema normal de seguridad, basta con introducir nuestra dirección y nuestra contraseña. Pero, ¿qué ocurre si alguien se hace con nuestra password por el método que sea? Aquí es donde cobra sentido la figura de la “verificación en dos pasos” que ha introducido Gmail y que es muy útil para evitar intrusiones no deseadas.
La verificación en dos pasos, tal y como la define Google, precisa de dos factores: algo que sabes (tu contraseña) y algo que tienes en tu poder, como un código que se envía a tu teléfono. De esta manera, necesitas ambos para poder acceder. De nada sirve tener sólo la contraseña. Es algo similar a lo que ofrecen algunos bancos en sus servicios online, que además de pedirte un código de identificación solicitan un a clave que está en una tarjeta física que tenemos.
¿Como proteger tus cuentas con esta segunda capa de seguridad?
Configurar Verificación de Dos Pasos en Google
Configurar Verificación de Dos Pasos en iCloud
Configurar Verificación de Dos Pasos en Hotmail / Outlook
Configurar Verificación de Dos Pasos en Facebook
Configurar Verificación de Dos Pasos en Dropbox
Configurar Verificación de Dos Pasos en Evernote
¿En que otros servicios puedo activar la verificación de dos pasos?
Lista de servicios para configurar verificación de dos pasos