LA HABANA, Cuba. — Un anuncio de Twitter este mes provocó el aumento de descargas de aplicaciones de autenticación de dos factores (2FA) en la tienda Google Play y Apple Store por parte de usuarios de la red social.
De acuerdo con la publicación, la 2FA basada en mensajes de texto (SMS) no es segura, por lo que “los suscriptores que no sean de Twitter Blue y que ya estén inscritos tendrán 30 días para desactivar este método e inscribirse en otro. Después del 20 de marzo de 2023, ya no permitiremos que los suscriptores que no sean de Twitter Blue usen mensajes de texto como método 2FA”, anunció Twitter en su blog oficial.
La compañía de Elon Musk reconoce que los ciberdelincuentes abusan de este método para fines maliciosos, por lo que quedarían disponibles dos opciones para proteger las cuentas: la autenticación a través de aplicaciones 2FA y por medio hardware (llaves de seguridad).
La segunda opción, aunque más segura, es menos popular pues requiere de un gasto adicional y el precio de una llave de seguridad “decente” ronda actualmente los 100 dólares.
Las alarmas se dispararon debido a que algunas de las aplicaciones de 2FA disponibles en la tienda de Google comprometen la seguridad del usuario, según un aviso publicado recientemente en Sophos, compañía británica sobre desarrollo de seguridad en software y hardware.
“Analizamos varias aplicaciones de autenticación después de que Twitter detuviera el método SMS para 2FA. Vimos muchas aplicaciones de estafa con casi el mismo aspecto que las auténticas. Todos engañan a los usuarios para que obtengan una suscripción anual por $40 al año. Capturamos cuatro que tienen binarios casi idénticos. También detectamos una aplicación que envía cada código QR escaneado a la cuenta de análisis de Google del desarrollador”, declararon los especialistas.
En la investigación, una de las aplicaciones fraudulentas engaña a los usuarios usando el nombre de una compañía que visualmente parece auténtico, pero cambia un carácter por otro similar de forma tal que los usuarios de un primer vistazo no noten la diferencia. Está falsificación se conoce como “typosquatting”.
Si está usando una aplicación de este tipo que pida pagar por una suscripción o cuenta con anuncios se recomienda desinstalar e instalar una desarrollada por una compañía reconocida. En ese sentido, las aplicaciones ampliamente recomendadas para la 2FA son “Google authenticator”, “Authy”, entre otras que pertenecen a desarrolladores de renombre.
Los dispositivos con sistemas IOS incorporan un generador de código 2FA en la ubicación Configuración/Contraseñas, aunque en ellos se puede instalar también una de las aplicaciones antes mencionadas.
La 2FA consiste en que, en lugar de solo ingresar una contraseña para iniciar sesión, se requiere también un código o una llave de seguridad. Este paso adicional garantiza que solo el usuario tenga acceso a la cuenta.
En el caso de Cuba, usar 2FA en cualquier servicio es particularmente inseguro puesto que
la Empresa de Telecomunicaciones de Cuba (ETECSA) controlada por las autoridades de la Isla,
no respeta la privacidad y dispone a su antojo de los SMS de los usuarios.