Muchos nos habíamos alegrado al enterarnos la semana pasada que Twitter había implementado finalmente la autenticación en dos pasos para logear a nuestras cuentas. Pero me temo que ahora va a haber que darle un tirón de orejas bastante grande a los ingenieros de la compañía, ya que según un informe de F-Secure, puede ser hackeada conociendo el teléfono móvil asociado a la misma.
Algo nada difícil para las cuentas de usuarios normales, que vinculamos nuestro único número de teléfono a nuestra cuenta. La autenticación en dos pasos consiste en que, una vez introducido nuestro usuario y contraseña en la web, se nos enviará un SMS con un código de un solo uso para acceder al servicio en los siguiente minutos. Una vez utilizado el código, deja de ser válido.
El problema está en que se puede utilizar una técnica de spoofing (suplantación de identidad) usando como origen el número de teléfono vinculado a la cuenta para enviar un SMS con un comando STOP y desactivar la autenticación en dos pasos. Una vez hecho esto, sólo pedirá usuario y contraseña para autenticarnos.
Twitter sigue teniendo graves problemas de seguridad de cara a sus cuentas. No posee un método para recuperar el acceso a las cuentas, solo para resetear la contraseña. En las últimas semanas han aumentado el número de casos de cuentas hackeadas, incluso la de Associated Press que la utilizaron para dar la falsa noticia de que Obama había sido herido en un ataque terrorista.
Para ver todo el proceso de desactivación de la autenticación en dos pasos, podéis leer la página de F-Secure.