Una vez más, Elon Musk ha vuelto a liarla: ahora, enviando a los usuarios de Twitter que habían solicitado activar la verificación en dos pasos de su cuenta mediante SMS una notificación que les avisa de que tendrán que pagar por ella si quieren mantenerla.
¿De qué hablamos? Fundamentalmente, de ciberseguridad. Cada vez que alguien quiere hacer login en una cuenta, sea de Twitter o de lo que sea, hay una forma de incrementar la seguridad de la misma que añade a la introducción del usuario y contraseña —que, como sabemos, deja mucho que desear porque mucha gente utiliza "la misma contraseña para todo" o contraseñas espantosamente inseguras— la necesidad de recibir un SMS con un número, que es preciso teclear para culminar el proceso.
El paso adicional no genera prácticamente ninguna molestia, y al introducir un segundo paso a la hora de hacer login, complicamos la vida a un supuesto delincuente que quiera acceder a nuestra cuenta: incluso si logra hacerse con nuestro usuario y contraseña, necesitaría tener acceso al dispositivo en el que recibimos la clave adicional para poder suplantar nuestra identidad.
El segundo factor de autenticación o autenticación en dos pasos lleva mucho tiempo en uso, y las personas razonablemente responsables con sus datos o que tienen un mínimo de cultura de ciberseguridad lo utilizamos en todos aquellos servicios que consideramos de cierta importancia.
¿Qué busca Musk pretendiendo cobrar por un servicio que mejora la seguridad de sus usuarios? En primer lugar, quitarse el coste que suponen esos SMS: seguramente no es muy elevado, pero cuando estás, como él, en modo "presupuesto de base cero", todo vale. Quien quiera SMS, que lo pague.
Mucha gente utiliza "la misma contraseña para todo" o contraseñas espantosamente inseguras.
Pero más allá de eso, que en este caso será, como veremos, bastante anecdótico, parece que pretende deshacerse de usuarios que utilizaban esa verificación mediante SMS, haciéndolos migrar a otras formas de verificación que, además de no representar un coste para Twitter, sigan siendo, como hasta ahora, gratuitos.
Y ahora, ¿de qué hablamos? Básicamente, de aplicaciones específicas de verificación en dos pasos, conocidas generalmente como Authenticators. La más conocida seguramente sea Google Authenticator, pero hay muchas otras: Microsoft tiene la suya, Salesforce la suya, gestores de contraseñas como LastPass tienen la suya, y otras son independientes.
Son apps enormemente sencillas y gratuitas, que nos descargamos en nuestro smartphone y que, cuando queremos hacer login en un servicio en el que las hemos configurado como nuestra opción para la verificación en dos pasos, las abrimos para revelar un código numérico que cambia cada poco tiempo (generalmente treinta segundos).
El procedimiento es completamente indoloro, y puedo dar fe de ello: cada día, cuando voy a dar una clase en un aula, me autentico con mi cuenta de Google en el ordenador del aula: le doy mi usuario, tecleo mi contraseña, y después, ya como un automatismo, saco mi smartphone del bolsillo para asegurarle a Google que sí, que soy yo y no otra persona quien está intentando hacer login en mi cuenta en el ordenador del aula. Con esto, añado un factor más de seguridad y hago bastante más difícil a un hipotético delincuente que quiera hacerse con el control de mi cuenta de Google que pueda conseguirlo.
De los sistemas de verificación en dos pasos, el SMS es sin duda el peor: primero, porque los propios SMS no son especialmente seguros, y segundo, porque a veces te complican la vida si está en el extranjero y tienes tu smartphone solo con WiFi para evitar cargos por roaming.
De los sistemas de verificación en dos pasos, el SMS es sin duda el peor.
Por tanto, lo que ha hecho Musk, básicamente, es pedir a los usuarios que consideren su cuenta de Twitter algo mínimamente valioso y quieran utilizar un sistema de verificación en dos pasos, que utilicen una app de las muchas que hay para ello, en lugar de hacerlo mediante un SMS más inseguro y por el que la compañía tenía que pagar.
El proceso de verificación en dos pasos debería estar implementado por defecto en todas las compañías, y eso haría mucho más complicado que fuesen objeto de intrusiones: desde hace ya tiempo, hemos pasado de compadecernos del empleado a través del cual tiene lugar una intrusión y de pensar que eso es algo que le puede pasar a cualquiera, para pasar a considerarlo un error grave e incluso, en ocasiones, una negligencia con consecuencias.
Y es que realmente, pedir a un empleado que cada vez que va a hacer login en su cuenta corporativa saque su smartphone del bolsillo y teclee además un numerito adicional no es, francamente, mucho pedir, y sí mejora mucho las cosas.
Posiblemente, Musk consiga, con ese cambio, que algunos usuarios caigan en la cuenta de que la verificación en dos pasos es algo muy sencillo de utilizar, enormemente recomendable a la hora de mejorar nuestra ciberseguridad personal o la de nuestro entorno, y que se popularicen un poco más este tipo de sistemas que todos los usuarios deberían conocer (y que muchos, a pesar de conocerlos, no se planteaban utilizar porque los consideraban farragosos).
Francamente, y desde la perspectiva de quien lleva mucho tiempo usando la verificación en dos pasos en infinidad de servicios y cuentas, no es incómoda en absoluto. Y si, ya que estamos, nos planteamos aprovechar el pequeño revuelo —el enésimo— creado por Elon Musk en Twitter para mejorar algo como nuestra ciberseguridad, será sin duda mucho mejor para todos.
***Enrique Dans es Profesor de Innovación en IE University.