Los tweets basados en SMS están muertos, pero la verificación de contraseña basada en SMS aún no ...

Twitter Stops SMS-Based Tweets

Podrías pensar que tuitear sin una conexión a Internet es imposible, y estarías en lo cierto. Hasta hace muy poco, sin embargo, este no era el caso.

Hace años, Twitter introdujo una función llamada Twitter a través de SMS. A través de él, los usuarios no solo podían recibir notificaciones relacionadas con sus cuentas de Twitter, sino también publicar tweets en ausencia de un dispositivo inteligente o una computadora. Había un par de requisitos. El uso de la función era imposible fuera de las regiones geográficas compatibles, y los usuarios que querían tuitear por SMS necesitarían tener sus números de teléfono conectados a sus cuentas de Twitter. Sin embargo, el proceso en sí mismo era extremadamente simple: el usuario enviaba su tweet como mensaje de texto a un número corto que fue configurado por Twitter y era específico para cada país, y el contenido del SMS aparecería en su cuenta.

Twitter deja de admitir tweets por SMS

Las personas que aprovechan Twitter a través de SMS ahora deben buscar otras formas de compartir sus pensamientos con sus seguidores. El lunes, la cuenta de soporte de Twitter anunció que suspenderá la función.

El servicio continuará ejecutándose en "algunos países", pero parece que la mayoría de los usuarios ya no podrán enviar sus mensajes de texto. La plataforma de microblogging favorita del mundo dice que la decisión se tomó porque Twitter "ha visto vulnerabilidades con SMS" y quiere "ayudar a mantener su cuenta segura", lo cual es una explicación bastante vaga. Sin embargo, cuando revise la historia de fondo, verá lo que está sucediendo exactamente.

Todo comenzó después de que los hackers se hicieron cargo de la cuenta de Jack Dorsey

El movimiento no debería ser una gran sorpresa para aquellos que han estado siguiendo Twitter y los percances por los que ha pasado. En agosto de 2019, un grupo de hackers que se autodenominan Escuadrón Chuckling comprometieron la cuenta de nada menos que el propio Twitter, Jack Dorsey. Los delincuentes lograron publicar algunos tuits ofensivos y, como era de esperar, el incidente provocó una tormenta. Los críticos estaban listos para criticar a Dorsey por usar o reutilizar una contraseña débil, pero pronto se hizo evidente que los delincuentes nunca lograron obtener sus credenciales de inicio de sesión. En cambio, realizaron un ataque de intercambio de SIM y utilizaron la función Twitter a través de SMS para compartir sus tonterías con los 4,2 millones de seguidores de Dorsey.

Los sistemas de Twitter no se vieron comprometidos de ninguna manera, y se podría argumentar que la red social no es responsable del ataque. Inicialmente, Twitter suspendió temporalmente la función de Twitter a través de SMS, pero insistió en que la cuenta de Jack Dorsey fue pirateada debido a "una supervisión de seguridad por parte del proveedor de telefonía móvil". Más tarde, lo volvió a encender, pero parece que finalmente se dio cuenta de que, en la actualidad, la función no es lo suficientemente segura como para ofrecerla a los usuarios finales.

Los mecanismos de restablecimiento de contraseña y 2FA basados en SMS permanecen activos

Twitter también ofrece autenticación de dos factores basada en SMS, y los usuarios que han olvidado sus contraseñas pueden restablecerlas después de ingresar un código enviado como mensaje de texto. Estas funciones permanecerán a pesar de la interrupción de Twitter a través de SMS.

Mucha gente se pregunta por qué. Sabemos que la autenticación 2FA por SMS no es la opción más segura, y también hemos escuchado sobre las numerosas vulnerabilidades asociadas con la transmisión de información confidencial a través de mensajes de texto. A primera vista, desactivar estas funciones parece una decisión lógica, pero en realidad no lo es.

Los usuarios siempre pueden ver las opciones y elegir la que mejor se adapte a sus necesidades. Para algunos, el SMS sería la única alternativa viable y, a pesar de todos sus defectos, les brindará protección adicional. Negar a los usuarios esta seguridad adicional es una mala decisión.

April 28, 2020

Deja una respuesta