¿Otra persona está usando tu cuenta de Twilio? Prácticas recomendadas para proteger tu token de autenticación
Tiempo de lectura: 3 minutos
December 04, 2018
Redactado por
Con más de 5000 millones de usuarios de teléfonos celulares en el mundo, los atacantes encuentran constantemente formas de aprovecharse de las personas desprevenidas a través de sus dispositivos conectados. El smishing, que utiliza SMS para diseñar información con ingeniería social, es un ataque muy común que los operadores móviles de telecomunicaciones buscan abordar. Haciéndose pasar por una entidad confiable, un transgresor envía mensajes de texto para solicitar información personal, como contraseñas o números de tarjetas de crédito. Si incluso unas pocas personas caen en la trampa, el esquema puede ser redituable, especialmente si el atacante está utilizando credenciales de cuenta de Twilio robadas para enviar los mensajes.
En Twilio, valoramos enormemente la confianza, por lo que queremos ayudarte a ti y a tus usuarios a protegerse del smishing. En esta publicación, compartiremos algunas prácticas recomendadas para proteger tu cuenta.
Prácticas recomendadas para la prevención de fraudes y phishing con Twilio
Una persona que roba tu token de autenticación de Twilio puede usar tu cuenta en tu lugar, haciendo lo que desee sin repercusiones. Los estafadores pueden realizar llamadas, enviar mensajes con tu identidad confiable, descargar registros o cambiar la configuración de URL de tus números de teléfono de Twilio.
El uso indebido de su token de autenticación puede conducir muy rápidamente a grandes cargos en tu cuenta de Twilio. Incluso peor, si tu token de autenticación cae en las manos equivocadas, puede dañar irreparablemente tu reputación y debilitar la confianza entre ti y tus clientes.
Para abordar estas situaciones, hemos aumentado nuestros controles de detección de actividad fraudulenta de cuentas. Queremos enfatizar las precauciones que los clientes pueden tomar para evitar el acceso no autorizado a sus cuentas. Estas son algunas prácticas de seguridad básicas que te ayudarán a proteger tu token de autenticación de Twilio contra el uso fraudulento.
Mantén tu token de autenticación seguro
Nunca divulgues tu token de autenticación. Guárdalo en un lugar seguro y no lo publiques en internet. Trátalo con el mismo cuidado que una contraseña, porque eso es exactamente lo que es.
No codifiques claves ni tokens
No utilices codificación rígida en las claves o tokens de tu aplicación. No sirve de nada a la hora de recuperar estas credenciales mediante la descompilación de la aplicación. Para evitar aún más dicha exposición durante el desarrollo de apps, realiza las llamadas API de Twilio desde tu servidor y no desde el del cliente.
No insertes credenciales en repositorios públicos
Nunca publiques tus tokens en los repositorios públicos de GitHub. Si lo haces por error, renuévalo inmediatamente (Consulta la siguiente sugerencia). Establece tu token de autenticación como una variable de entorno y, a continuación, utiliza la variable en tu código. Esto protege el token de autenticación de la exposición y evita que el código realice llamadas API desde un entorno no autorizado
Renueva tus tokens regularmente
Periódicamente cambia tus tokens de autorización de modo que, si se han visto comprometidos, no sigan estando disponibles para el phishing u otras actividades delictivas. Una regla general es tratar las credenciales como un cepillo dental; es decir, renovarlas cada tres meses y no compartirlas con otras personas.
Crea símbolos de alcance limitado
Considera la posibilidad de utilizar tokens de acceso a la API temporales, ya que son mecanismos de autenticación más granulares, en lugar de utilizar el SID y el token de autenticación.
Controla tu cuenta
Mantente atento a tu cuenta y a cualquier cargo que no reconozcas.
Proteger tu token de autenticación es una parte fundamental de una buena estrategia de seguridad general. Twilio está comprometido a crear y mantener la confianza. Además, queremos proporcionarte las herramientas y los consejos adecuados para proteger tus aplicaciones y administrar tus datos correctamente. Para obtener más información, consulta los documentos de identidad y autenticación del usuario.
Evita el fraude y el phishing por diseño
La seguridad adecuada de tu aplicación web comienza con las prácticas recomendadas simples que hemos descrito aquí. Mediante la protección de las credenciales de tu cuenta y la vigilancia de cualquier actividad fraudulenta, puedes proteger a tus clientes, tu reputación y tus ganancias.
Para obtener más información sobre cómo evitar fraudes y proteger tu cuenta, consulta nuestra guía antifraude para desarrolladores.
Recursos relacionados
Twilio Docs
Desde API hasta SDK y aplicaciones de muestra
Documentación de referencia de API, SDK, bibliotecas auxiliares, inicios rápidos y tutoriales para su idioma y plataforma.
Centro de Recursos
Los últimos libros electrónicos, informes de la industria y seminarios web
Aprenda de los expertos en participación del cliente para mejorar su propia comunicación.
Ahoy
Centro de la comunidad de desarrolladores de Twilio
Mejores prácticas, ejemplos de códigos e inspiración para crear comunicaciones y experiencias de participación digital.