X (antes Twitter) ha notificado a sus usuarios que deberán volver a registrar sus passkeys y llaves de seguridad utilizadas como segundo factor de autenticación (2FA) antes del 10 de noviembre. Quienes no completen la actualización verán su acceso temporalmente bloqueado hasta cambiar o re-vincular el método de protección. La compañía subraya que la medida no responde a un incidente, sino a su transición final al dominio x.com.
¿A quién afecta el cambio y qué implicaciones tiene en la 2FA?
La exigencia impacta únicamente a quienes usan passkeys o llaves de seguridad FIDO2/U2F (por ejemplo, YubiKey) como 2FA. Estos factores son resistentes al phishing porque validan criptográficamente al servicio sin exponer secretos en páginas fraudulentas.
El equipo de Safety de X informó que los usuarios pueden re-registrar la llave actual o añadir una nueva. Importante: si se registra una llave nueva, las previamente asociadas dejarán de funcionar. Tras el plazo, las cuentas sin llaves actualizadas se bloquearán hasta que el usuario re-registre su passkey/llave, cambie a otro método de 2FA (por ejemplo, una aplicación autenticadora) o desactive la 2FA, opción que X desaconseja.
Motivo técnico: migración a x.com y el RP ID de FIDO2/WebAuthn
El cambio obedece a la última fase de la migración de twitter.com a x.com. Con FIDO2/WebAuthn, los autenticadores quedan vinculados al Relying Party Identifier (RP ID), que suele ser el dominio del servicio. En la práctica, una passkey registrada para twitter.com no es válida para x.com cuando el servicio migra de forma definitiva. No hay indicios de brecha de seguridad asociados a esta medida.
Passkeys y llaves FIDO2: cómo funcionan y por qué son superiores al SMS
Las passkeys y las llaves FIDO2 emplean criptografía asimétrica: la clave privada permanece en el dispositivo o token, y el servidor solo recibe una firma del desafío. Este diseño mitiga el phishing al evitar que credenciales reutilizables queden expuestas. Grandes proveedores han validado su eficacia: Google comunicó que la adopción de llaves de seguridad eliminó los secuestros de cuentas por phishing entre su personal. De forma coherente, NIST SP 800‑63 clasifica a FIDO2 como un factor preferente y resistente al phishing.
Cómo re-registrar passkeys y llaves de seguridad en X (paso a paso)
Proceda manualmente desde x.com/settings/account/login_verification/security_keys. Desvincule las llaves actuales y vuelva a registrarlas bajo el dominio x.com. Para confirmar la operación, el sistema solicitará la contraseña de la cuenta.
Si requiere una alternativa temporal, puede cambiar a una aplicación autenticadora. No obstante, para una protección robusta frente al phishing, se recomienda mantener passkey o llave FIDO2 como método principal. Tenga en cuenta que al registrar una nueva llave, las anteriores dejan de funcionar; planifique la actualización en todos sus dispositivos para no perder acceso.
Riesgos de retrasar la actualización y buenas prácticas de continuidad
Posponer el re-registro puede causar un bloqueo temporal tras el 10 de noviembre, con impacto especial en cuentas corporativas, marcas y desarrolladores. Desactivar la 2FA para entrar es una mala práctica: los códigos por SMS son vulnerables a SIM swapping y a interceptación, y los passwords son objetivo de infostealers. Como respaldo, use una app autenticadora, pero retorne a FIDO2/passkey cuanto antes.
Recomendaciones prácticas: pruebe el inicio de sesión en todos los equipos, actualice navegadores y sistemas, y verifique el acceso al e‑mail de recuperación. En organizaciones, documente el procedimiento, comunique a los usuarios y establezca una ventana de mantenimiento para evitar bloqueos masivos tras el deadline.
Actuar antes del 10 de noviembre garantiza continuidad de acceso y mantiene una 2FA resistente al phishing. Re-registre sus passkeys o llaves FIDO2 en x.com, compruebe el acceso desde todos sus dispositivos y defina un método de respaldo. Reforzar la autenticación hoy es una inversión mínima que previene incidentes de alto impacto mañana.
