Llegamos a ustedes gracias a:



Noticias

Critican el sistema de autenticación de doble factor de Twitter

[30/05/2013] La semana pasada, y tras sufrir varios ataques de alto nivel, Twitter decidió introducir la autenticación de doble factor en sus sistemas para que los usuarios puedan proteger sus cuentas mediante el registro de su número de teléfono y dirección de correo electrónico.
Este sistema de autenticación de doble factor ya ha sido víctima de las primeras críticas. F-Secure asegura que el mismo podría ser utilizado por hackers para bloquear la cuenta de usuarios.
Sean Sullivan, asesor de seguridad de F-Secure, afirma que, en realidad, los hackers podrían abusar de esta función con el objetivo de prolongar el acceso no autorizado a las cuentas que no tienen instalado la autenticación de doble factor.
El asesor asegura que un atacante que robe alguna de las credenciales, a través de métodos como el phishing entre otros, podrían asociar un número de teléfonos de prepago con la cuenta de Twitter de esa persona y, después, habilitar la autenticación de doble factor. Si eso sucede, el propietario real de la cuenta de Twitter no podrá recuperar su cuenta de la forma más sencilla (a través del restablecimiento de la contraseña) y tendrá que ponerse en contacto con el soporte de Twitter.
Esto es posible debido a que Twitter no utiliza ningún método adicional para verificar quién es el que accede a la red social con lo que, cualquiera que entra a Twitter desde la web tiene acceso a la autenticación de doble factor.
De esta forma, y según Sean Sullivan, cuando la opción seguridad de la cuenta es habilitada por primera vez, Twitter pregunta a los usuarios si estos han recibido con éxito un mensaje de prueba enviado a su teléfono. Un usuario puede dar a la opción de si incluso si no reciben el mensaje.
Para Sean Sullivan, lo que tenía que hacer Twitter es enviar un mensaje de correo electrónico a la dirección asociada a la cuenta, de tal forma, que el usuario tuviera que hacer clic para confirmar la autenticación de doble factor.
Además de F-Secure, otros investigadores de seguridad creen que este sistema no es práctico para compañías cuyos equipos de social media estén geográficamente dispersos y no comparten un número de teléfono para la autenticación.
Lucian Constantin, IDG News Service