Guía para proteger tu cuenta de Twitter (y otras webs) apta para paranoicos

La semana pasada le hackearon la cuenta de Twitter al mismísimo CEO de Twitter. Aunque el método usado no es compatible con todo el mundo, esto deja claro que en cuanto a tu seguridad y la de tus cuentas en internet nadie está a salvo, ni uno de los personajes más importantes en internet.

A Dorsey le lograron hackear la cuenta mediante SIM swapping, una técnica usada en Estados Unidos que trata de engañar a un representante de atención al cliente de una operadora haciéndose pasar por el dueño de la línea.

Se comenta algo así como que ha perdido el móvil y necesita su tarjeta para trabajar, que tiene otra tarjeta SIM y si puede cambiarle el número de forma remota. Tras responder algunas preguntas de seguridad la operadora bloquea la SIM antigua y utiliza la del atacante.

Esto en España es imposible porque ninguna operadora permite cambiar le número a una tarjeta SIM, pero el peligro sigue presente en muchos otros países.

El problema reside en el número de teléfono móvil que muchas empresas usan para mandar mensajes de verificación y que es inseguro, pero una mejor solución que solo tener una contraseña.

No tienes que ser una persona famosa o con poder para ser blanco de estos ataques. Basta con tener un nombre de usuario corto o con una palabra común para que muchos hackers se hagan con ella y la revendan.

Mejora la complejidad de tu contraseña

Para mejorar la seguridad de una cuenta lo primero que se debe tener es una buena contraseña.

Habrás leído artículos o te han contado que lo mejor es tener contraseñas complicadas con números, letras, algunas mayúsculas y minúsculas. En realidad esto no es así. Una contraseña segura es la que lleve mucho tiempo descifrar a un ordenador. Para eso se necesita mejorar la entropía.

Piensa en una frase aleatoria como la mejor contraseña. Algo con varias palabras, separadas por espacios y que tenga sentido en tu cabeza. Es larga y a un ordenador le costará encontrar un patrón para descifrarla.

La cuestión es ponérselo difícil al atacante, porque descifrar una contraseña solo es cuestión de tiempo y poder de computación.

¿Cómo guardo esas contraseñas tan complicadas? Yo siempre recomiendo 1Password o LastPass.

Activa la verificación en dos pasos

Usar una contraseña compleja es solo el primer paso. La verificación en dos pasos es algo necesario hoy en día. Un código que se envía o genera en un solo dispositivo que tienes a mano, normalmente tu móvil.

Twitter, como el resto de grandes empresas de internet, permite activar esta verificación.

Solo se requiere tres cosas, activar la opción, usar un número de teléfono de respaldo y descargar una aplicación como Google Authenticator (desfasada pero todavía útil), Authy o Microsoft Authenticator.

Twitter (o el servicio que uses) generará un código QR que tienes que escanear con la app y a partir de ahí generará códigos de seis cifras que cambian cada 30 segundos.

Personalmente creo que es más seguro utilizar una llave física como Yubico que una aplicación, pero esto ya depende del nivel de seguridad que quieras.

Google ha implementado otras opciones de verificación, como usar la app de Gmail para verificar tu identidad, algo bastante simple y sencillo.

Nivel experto: un segundo número de teléfono privado

Este es un paso que cada vez veo utilizar a personas que suelen ser blanco de ataques para suplantar su identidad o que quieren robar sus cuentas.

La idea es utilizar un número de teléfono para recuperar contraseñas o para verificar tu identidad que no sea público y que solo se utilice para este tipo de situaciones.

Es como tener una segunda cuenta de correo electrónico exclusiva para registrarte en redes sociales (altamente recomendable por un buen número de razones, más sobre esto en unas semanas).

Es muy sencillo conocer tu número de teléfono porque es más que probable que alguna vez se lo dieses a alguien y esté en alguna base de datos o puedan engañarte para que informes sobre el número.

Con un segundo número exclusivo para cuentas, que jamás darás a una persona, solo a las webs, te olvidas la filtración del numero. Claro que este plan se va al garete si de pronto una red social es hackeada y no utiliza cifrado para proteger tu información personal.

Para esto es perfecto tener un móvil con capacidad para dos tarjetas SIM, como los OnePlus o un iPhone que acepta una SIM física y una eSIM vía software.

(Estas son opciones personales, hay móviles mucho más baratos con dos SIM)

Utiliza una operadora virtual o una línea sin datos, solo con opción para hacer y recibir llamadas y mensajes de texto. Suelen ser muy baratas, menos de 6 euros al mes en contrato y puedes dejarla en tu móvil.


Esto no es una solución infalible. Si alguien te quiere atacar y obtener información personal lo hará de alguna forma. La cuestión es ponérselo lo más difícil posible a quien quiera robarte algo.

Y recuerda: la seguridad es una ilusión.