Spotify empieza a ofrecer autentificación en dos pasos

Creo que ya he contado en alguna ocasión que, hace ya bastantes años, intentaron «robarme» la cuenta de Spotify (y por una hora lo consiguieron). Fue a mitades de enero, ya había anochecido y, tras todo el día fuera haciendo gestiones, ya estaba de camino a casa en el coche. Ahora mismo no recuerdo si, por aquellos tiempos, ya empleaba también Apple Music o si, por el contrario, aún me mantenía solo en «Spoti». El caso es que iba escuchando una de mis listas de reproducción cuando, de repente, se cerró la sesión.

Iba conduciendo y tardé media hora (quizá un poco más) en llegar a la localidad en la que vivía por aquellos entonces, aparcar y subir a casa. En el camino del coche a casa intenté volver a iniciar sesión en el móvil, pero no fue posible y, al llegar a casa, pude averiguar que alguien había obtenido mis credenciales, iniciado sesión, cambiado la cuenta de correo electrónico asociada y la contraseña, y cerrado sesión en todos los dispositivos en los que estaba abierta.

Obviamente, contacté de inmediato con el soporte técnico de Spotity y, siempre lo diré, su actuación fue de cinco estrellas. Me respondieron de inmediato, me hicieron algunas preguntas de seguridad y, en cuestión de minutos, ya me habían restituido el acceso a la cuenta. ¿El fallo de seguridad? 100% responsabilidad mía, pues ese conjunto de credenciales (usuario y contraseña) era reciclados, es decir, que ya lo había empleado en otros servicios. Entre ellos, en el servicio de correo electrónico de Yahoo!, que sufrió dos grandes filtraciones la década pasada.

No obstante, he dicho que la responsabilidad fue 100% mía, pero en realidad pienso que es compartida. Parte de la responsabilidad fue de Yahoo!, por no proteger los datos adecuadamente, y quizá un 5% se lo atribuyo a Spotity, que no contaba con un sistema más seguro de inicio de sesión. Esto, afortunadamente, parece estar a punto de cambiar pues, como están documentando algunos usuarios en Reddit, Spotify está implementando la autentificación en dos factores.

Al menos de momento, solo ofrecen el método de recibir un código de uso único a través del correo electrónico, que tendremos que introducir tras haber iniciado sesión con nuestras credenciales. Como digo, no es el método 2FA más seguro del mundo, pues si lo que se ha visto comprometido es nuestra cuenta de correo, un potencial atacante tendría acceso a dichos códigos únicos. No obstante, sí que supone un gran avance con respecto a la situación hasta ahora. Lo siguiente, claro, es esperar que implanten más vías para el segundo paso, recomendablemente una app como Authy, Google Authenticator o similares o, mejor aún, que den el salto a Passkey. Pero bueno, de momento ya han dado un paso importante, y eso es más que digno de celebración.