El sistema de autenticación de doble factor anunciado la semana pasada por Twitter no es efectivo. Por lo menos eso es lo que asegura F-Secure, que considera que este sistema podría ser utilizado por hackers para bloquear las cuentas.
La semana pasada, y tras sufrir varios ataques de alto nivel, Twitter decidió introducir la autenticación de doble factor en sus sistemas para que los usuarios puedan proteger sus cuentas mediante el registro de su número de teléfono y dirección de correo electrónico.
Este sistema de autenticación de doble factor ya ha sido víctima de las primeras críticas. F-Secure asegura que el mismo podría ser utilizado por hackers para bloquear la cuenta de usuarios.
Sean Sullivan, asesor de seguridad de F-Secure, afirma que, en realidad, los hackers podrían abusar de esta función con el objetivo de prolongar el acceso no autorizado a las cuentas que no tienen instalado la autenticación de doble factor.
El asesor asegura que un atacante que robe alguna de las credenciales, a través de métodos como el phishing entre otros, podrían asociar un número de teléfonos de prepago con la cuenta de Twitter de esa persona y, después, habilitar la autenticación de doble factor. Si eso sucede, el “propietario real” de la cuenta de Twitter no podrá recuperar su cuenta de la forma más sencilla (a través del restablecimiento de la contraseña) y tendrá que ponerse en contacto con el soporte de Twitter.
Esto es posible debido a que Twitter no utiliza ningún método adicional para verificar quién es el que accede a la red social con lo que, cualquiera que entra a Twitter desde la Web tiene acceso a la autenticación de doble factor.
De esta forma, y según Sean Sullivan, cuando la opción “seguridad de la cuenta” es habilitada por primera vez, Twitter pregunta a los usuarios si estos han recibido con éxito un mensaje de prueba enviado a su teléfono. Un usuario puede dar a la opción de “si” incluso si no reciben el mensaje.
Para Sean Sullivan, lo que tenía que hacer Twitter es enviar un mensaje de correo electrónico a la dirección asociada a la cuenta, de tal forma, que el usuario tuviera que hacer click para confirmar la autenticación de doble factor.
Además de F-Secure, otros investigadores de seguridad creen que este sistema no es práctico para compañías cuyos equipos de social media estén geográficamente dispersos y no compartan un número de teléfono para la autenticación.