·  ·  · 

Caída de inicio de sesión en X: el cambio de clave de seguridad a X.com deja fuera a los usuarios mientras Twitter.com finalmente desaparece (13 de noviembre de 2025)

noviembre 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

Millones de usuarios de X (anteriormente Twitter) que hicieron “todo bien” en cuanto a la seguridad de sus cuentas han pasado las últimas 24 horas bloqueados, atrapados en bucles interminables de autenticación en dos pasos y recibiendo un mensaje confuso:

“Debe volver a inscribir su YubiKey.”

El fallo está directamente relacionado con el prolongado esfuerzo de Elon Musk por borrar los últimos rastros de twitter.com y trasladar completamente los inicios de sesión a x.com — una transición de marca y dominio que los críticos ya consideraban uno de los cambios de marca más desordenados en la tecnología. [1]

Esto es lo que sucedió, lo que hay de nuevo hoy (13 de noviembre de 2025) y lo que puedes hacer si tu cuenta de X está actualmente atrapada en el infierno de la autenticación.

Qué pasó: el cambio de clave de seguridad de X sale mal

Entre el 24 y el 27 de octubre, X advirtió discretamente a los usuarios que si utilizaban una clave de seguridad física (como una YubiKey) o una passkey para la autenticación en dos pasos (2FA), debían volver a inscribirla para el nuevo dominio x.com antes del 10 de noviembre de 2025, o corrían el riesgo de quedarse fuera. [2]

El equipo de Seguridad de X recalcó en ese momento que:

  • El cambio “no estaba relacionado con ningún incidente de seguridad,”
  • Solo afectaba a las claves de seguridad y passkeys,
  • Y era necesario porque esas claves están criptográficamente vinculadas a twitter.com, que X quiere retirar. [3]

Medios de seguridad como BleepingComputer y The Register explicaron que una vez que twitter.com desaparezca, las claves vinculadas a ese dominio simplemente no funcionarán — por lo que deben volver a registrarse en x.com. [4]

Ese era el plan.

La realidad llegó esta semana.

12–13 de noviembre: error de YubiKey y bucles infinitos de inicio de sesión

A partir de la noche del 12 de noviembre (hora de EE. UU.) y hasta las primeras horas del 13 de noviembre de 2025, los usuarios de X comenzaron a informar que ya no podían iniciar sesión en la web o en el móvil:

  • Después de ingresar su contraseña, se les informaba que “deben volver a inscribir [su] YubiKey” para asociarla con x.com. [5]
  • Cuando intentaron seguir las instrucciones, el flujo simplemente… se repetía en bucle.
  • Algunos nunca tuvieron una YubiKey, pero aun así se vieron obligados a pasar por la misma pantalla de “volver a registrar su YubiKey”. [6]

Android Central, Windows Central y TechCrunch documentaron el mismo patrón: un problema global de inicio de sesión para cuentas vinculadas a llaves de seguridad o passkeys, que a menudo resultaba en un callejón sin salida de verificación o bloqueo total incluso cuando los usuarios seguían correctamente las instrucciones. [7]

El medio especializado en seguridad The Tech Buzz lo describió sin rodeos como una “migración de llaves de seguridad” fallida que convirtió el mantenimiento de dominios en un “infierno de autenticación” para los usuarios más preocupados por la seguridad de la plataforma. [8]

Actualización de hoy (13 de noviembre de 2025): Recuperación parcial, caos persistente

Nuevos reportes y publicaciones de usuarios hoy sugieren que lo peor de la caída está disminuyendo, pero no todos han recuperado el acceso aún.

Redacciones: Problema confirmado, X sigue mayormente en silencio

  • NewsBytes informa que X está “enfrentando un problema importante tras un cambio obligatorio en la autenticación de dos factores”, dejando a los usuarios “atrapados en bucles infinitos o completamente bloqueados”, y señala que X no ha hecho comentarios públicos sobre el fallo. [9]
  • Storyboard18 también describe una “actualización de seguridad fallida” que bloqueó a los usuarios o los atrapó en bucles de inicio de sesión — remarcando nuevamente que X no ha ofrecido una explicación oficial mientras Elon Musk sigue publicando normalmente desde su propia cuenta. [10]
  • Tech Buzz actualizó su historia esta mañana para reflejar los continuos fallos de autenticación y la persistente falta de un comunicado formal por parte de X. [11]

TechCrunch señala que X “no respondió a la solicitud de comentarios”, incluso cuando su propia cobertura sobre el inicio de sesión detallaba bucles infinitos y bloqueos generalizados tras la fecha límite del 10 de noviembre. [12]

Reportes de usuarios: reversión en curso, pero no universal

El blog en vivo de Windows Central, citando fuentes internas, informó el 12 de noviembre que los ingenieros de X estaban revirtiendo los cambios recientes, y para media tarde el redactor pudo volver a iniciar sesión mientras los reportes de caída en DownDetector empezaban a disminuir. [13]

En las comunidades r/Yubikey y r/Twitter de Reddit, los usuarios describen: [14]

  • Problemas globales con el flujo de inicio de sesión con YubiKey/passkey de X.
  • Mensajes confusos para “volver a registrar tu YubiKey” incluso para personas que solo usaban passkeys o apps autenticadoras.
  • Una oleada de comentarios esta mañana como “Ya puedo entrar” y “Solucionado en ambas cuentas”junto a otros que dicen que siguen bloqueados.

Un comentario ampliamente compartido en Reddit hace referencia a una publicación de un ingeniero verificado de X que afirma que el “problema de inicio de sesión con llave de seguridad debería resolverse pronto”, pero la solución claramente se está implementando de forma desigual: algunas cuentas funcionan de nuevo, otras siguen atascadas en el bucle. [15]

Resumen para el 13 de noviembre:

  • La caída está mejorando pero aún no ha terminado.
  • Todavía no hay un informe público y detallado de X.

¿Quiénes están afectados — y quiénes no?

Según los reportes de la cobertura de hoy y publicaciones de usuarios: [16]

Los más afectados:

  • Cuentas que alguna vez configuraron:
    • Una llave de seguridad física (YubiKey o similar), o
    • Una passkey (autenticador de plataforma usando Face ID, Touch ID, Windows Hello, etc.)
  • Especialmente usuarios cuyas llaves fueron registradas originalmente cuando el servicio aún usaba twitter.com para iniciar sesión.

Mayormente no afectados (hasta ahora):

  • Cuentas que usan aplicaciones autenticadoras (apps TOTP),
  • Cuentas que usan códigos SMS o por correo electrónico para 2FA,
  • Cuentas sin 2FA (aunque eso se desaconseja fuertemente por seguridad).

Irónicamente, las personas que invirtieron en las protecciones más fuertes — tokens de hardware y passkeys — han sido las más perjudicadas por esta migración fallida. Varios informes de usuarios también sugieren que algunos usuarios sin llave fueron afectados por un flujo de inicio de sesión defectuoso que no detectó correctamente su configuración. [17]

Por qué el cambio de twitter.com → x.com rompió el inicio de sesión

Para entender la interrupción, hay que entender cómo funcionan las llaves de seguridad y las passkeys.

A diferencia de las contraseñas, las llaves de seguridad WebAuthn/FIDO2 y las passkeys están vinculadas a un dominio específico. Cuando registraste por primera vez una llave para twitter.com, se bloqueó criptográficamente a ese origen exacto. [18]

Así que cuando X decidió finalmente eliminar el dominio antiguo y mover los inicios de sesión completamente a x.com:

  1. Las llaves registradas en twitter.com dejaron de coincidir con el nuevo dominio.
  2. Por lo tanto, X requirió que los usuarios dieran de baja y volvieran a registrar sus llaves para x.com.
  3. El proceso de re-registro en sí parece haber estado roto, causando:
    • Bucles infinitos de regreso a la pantalla de “vuelve a registrar tu YubiKey”,
    • Solicitudes de inicio de sesión para YubiKeys en cuentas que solo usaban passkeys o aplicaciones,
    • Usuarios incapaces de acceder a la página de configuración donde debe hacerse el cambio. [19]

X Safety previamente tranquilizó a los usuarios diciendo que esto era un simple mantenimiento y “no relacionado con ningún problema de seguridad,” pero la ejecución claramente falló en las expectativas básicas de fiabilidad: las migraciones de seguridad se supone que deben hacer a las personas más seguras, no cerrarles la sesión en masa. [20]

¿Es esto un hackeo o una filtración de datos?

No hay ninguna evidencia hasta ahora de que este incidente sea un hackeo, filtración o ciberataque externo.

  • Las propias aclaraciones de X en octubre enmarcaron el restablecimiento de llaves como una migración de dominio, no como una respuesta a un incidente. [21]
  • Los informes actuales de NewsBytes, Storyboard18, TechBuzz, TechCrunch y otros relacionan la interrupción con una implementación fallida de la migración planificada de claves de seguridad, no con una vulneración de los sistemas de X. [22]

Dicho esto, X aún no ha compartido una explicación técnica detallada, por lo que los observadores externos siguen reconstruyendo la causa raíz a partir del comportamiento y comentarios internos filtrados.

Qué hacer si no puedes acceder a tu cuenta de X

Si actualmente estás atascado en el bucle de YubiKey/passkey, aquí tienes pasos prácticos extraídos de la propia guía anterior de X y de las recomendaciones de expertos en seguridad. [23]

1. Intenta desde un dispositivo donde ya hayas iniciado sesión

Si aún tienes una sesión activa de X en:

  • Un teléfono,
  • Una tableta, o
  • Otro perfil de navegador,

usa esa sesión iniciada para:

  1. Ir a Configuración → Seguridad y acceso a la cuenta → Seguridad → Autenticación en dos pasos.
  2. Temporalmente desactiva la antigua entrada de clave de seguridad/passkey que hace referencia a twitter.com.
  3. Agrega un método de 2FA de respaldo (aplicación de autenticación u otra llave de hardware) si aún no tienes uno.
  4. Vuelve a registrar tu YubiKey/passkey para x.com solo cuando los problemas de migración estén claramente resueltos.

2. Revisa otras opciones de 2FA

Algunos usuarios informan que aún pueden acceder mediante: [24]

  • Una aplicación de autenticación que configuraron previamente,
  • Códigos SMS o por correo electrónico,
  • Una llave de hardware de respaldo.

Si puedes autenticarte con alguno de esos métodos, ve directamente a la configuración y verifica:

  • Qué claves de seguridad están listadas,
  • Si tu clave ahora está vinculada a x.com,
  • Y que tienes al menos un método de respaldo funcional.

3. Usa el formulario de recuperación de cuenta de X

Si ningún método de inicio de sesión funciona y estás completamente bloqueado, tu única vía oficial es contactar al soporte de X a través de su formulario de “recuperar acceso a tu cuenta”, al que varios usuarios en Reddit dicen haber recurrido. [25]

Este proceso puede ser lento y no hay garantía de éxito, pero es la única ruta legítima de recuperación que X ofrece si el 2FA está roto.

4. Evita desactivar el 2FA por completo (si puedes evitarlo)

Las propias advertencias de X antes de la fecha límite decían que después del 10 de noviembre podrías: [26]

  • Volver a inscribir tu llave o passkey,
  • Cambiar a otro método de 2FA, o
  • Desactivar el 2FA por completo (lo cual ellos mismos “desaconsejan firmemente”).

A menos que absolutamente debas volver a entrar de inmediato y no tengas otras opciones, intenta no desactivar permanentemente el 2FA. Hacerlo expone tu cuenta a phishing, reutilización de contraseñas y ataques de SIM swap: justamente las amenazas que las llaves de seguridad buscan prevenir.

Si debilitas temporalmente tu seguridad para recuperar el acceso, planea:

  1. Agregar una app de autenticación o una llave de respaldo de inmediato, y
  2. Volver a habilitar un 2FA fuerte tan pronto como los sistemas de inicio de sesión de X sean estables.

5. Cuidado con correos de phishing y “soporte” falso

Incidentes como este son un imán para estafadores. Ten cuidado con:

  • Correos que dicen ser de “X Security” pidiéndote que “arregles” tu llave,
  • Mensajes directos ofreciendo restaurar tu cuenta por una tarifa,
  • Enlaces que parecen x.com pero no lo son (caracteres extra, subdominios extraños, etc.).

Si vas a hacer clic en algo, escribe x.com tú mismo en el navegador y navega por la interfaz oficial en vez de confiar en enlaces de mensajes.

Un último tropiezo para el largo y desordenado cambio de marca de X

Desde una perspectiva de marca, este apagón es simbólicamente brutal.

  • Sitio de diseño Creative Bloq calificó recientemente el cambio de imagen de Musk a X como “uno de los rebrandings más desordenados de la década”, señalando que la gente todavía se refiere instintivamente a la plataforma como “X, anteriormente conocido como Twitter” más de dos años después. [27]
  • Ese artículo señaló que uno de los últimos vestigios técnicos de Twitter — la URL twitter.comfinalmente estaba siendo retirada, con los inicios de sesión redirigiendo completamente a x.com.

Ahora, el simple hecho de enterrar twitter.com ha devuelto la antigua marca a los titulares, ya que los usuarios se quejan de que “Twitter volvió a equivocarse” mientras intentan arreglar los últimos rastros de… Twitter. [28]

Para los críticos, este incidente encaja en un patrón que han señalado desde la adquisición de Musk: cambios agresivos y de arriba hacia abajo implementados a gran velocidad, con equipos de ingeniería reducidos y aparentemente redes de seguridad limitadas. Numerosos medios hoy en día enmarcan explícitamente la caída como la última de una serie de tropiezos operativos desde la adquisición de $44 mil millones. [29]

¿Significa esto que las passkeys y las llaves de seguridad son una mala idea?

Respuesta corta: no — pero es una advertencia sobre cómo implementarlas.

Informes de BleepingComputer, The Verge y The Register enfatizan que las llaves de hardware y las passkeys siguen siendo algunas de las formas más seguras de autenticación disponibles hoy en día. Reducen drásticamente el riesgo de phishing porque solo responderán en el dominio exacto en el que fueron registradas. [30]

Lo que falló aquí no fue la tecnología subyacente. Fue:

  • Mala planificación de migración (forzando la reinscripción contra una fecha límite estricta),
  • Un proceso de reinscripción con errores sin una alternativa confiable,
  • Comunicación débil durante la caída, dejando a los usuarios depurar fallos de seguridad en público. [31]

Para otras plataformas que observan este desarrollo, la lección es clara:

Si vas a mover a millones de usuarios a un nuevo dominio con credenciales ligadas a hardware, necesitas pruebas a prueba de balas, un despliegue gradual y rutas de recuperación robustas.

Preguntas frecuentes: Interrupción de la clave de seguridad de X, 13 de noviembre de 2025

¿Qué provocó la interrupción de inicio de sesión de X?
Una migración forzada de claves de seguridad y passkeys del dominio twitter.com a x.com, combinada con un proceso de reinscripción defectuoso que atrapó a los usuarios en bucles de YubiKey/passkey y bloqueó el acceso a la configuración de la cuenta. [32]

¿Quiénes fueron los más afectados?
Usuarios que habían configurado claves de seguridad de hardware o passkeys para 2FA, especialmente aquellos cuyas claves se registraron originalmente cuando los inicios de sesión aún usaban twitter.com. Muchos de ellos quedaron temporalmente o aún completamente bloqueados. [33]

¿El problema ya está solucionado (13 de noviembre de 2025)?
Informes de Windows Central y Reddit muestran que muchos usuarios pueden iniciar sesión nuevamente después de que X aparentemente revirtió partes del cambio, pero otros siguen atascados, y X no ha publicado un análisis detallado del incidente. [34]

¿X fue hackeado?
No hay evidencia pública de un hackeo o filtración de datos. X y reportes de seguridad independientes atribuyen el incidente a una migración interna fallida de claves de seguridad, no a un ataque externo. [35]

¿Debo desactivar el 2FA en mi cuenta de X?
Solo como último recurso. Desactivar el 2FA hace que tu cuenta sea mucho más fácil de comprometer. Si debes debilitar la seguridad para recuperar el acceso, agrega una app de autenticación o una clave de respaldo y vuelve a activar el 2FA fuerte tan pronto como los sistemas de X se estabilicen. [36]

Al 13 de noviembre, la crisis se está resolviendo lentamente, pero el daño a la confianza de los usuarios —y a la ya controvertida renovación de marca de X— puede durar mucho más que la propia interrupción.

How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
Ver este vídeo en YouTube.

References

1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.reddit.com, 26. www.bleepingcomputer.com, 27. www.creativebloq.com, 28. www.creativebloq.com, 29. www.techbuzz.ai, 30. www.bleepingcomputer.com, 31. www.techbuzz.ai, 32. www.newsbytesapp.com, 33. www.techbuzz.ai, 34. www.windowscentral.com, 35. www.theregister.com, 36. www.bleepingcomputer.com

Mateusz Brzeziński

Technology News

  • Hydrohertz Debuts Dectravalve for Ultra-Fast EV Charging, Boosting Range and Battery Life
    November 14, 2025, 5:32 AM EST. Hydrohertz unveils Dectravalve, a patented, intelligent multi-zone battery cooling system that enables ultra-fast charging and improves range and battery life. The technology can safely push cells closer to their limits, cutting typical fast-charge times by up to 68% (30 minutes to about 10 minutes) while maintaining thermal balance across modules. By keeping every cell at an optimum temperature, it reduces thermal stress and mitigates lithium plating, potentially extending pack life. Dectravalve is chemistry-agnostic and cost-effective, blending targeted heating/cooling with higher power availability. In tests with Warwick Manufacturing Group (WMG), a 100 kWh LFP pack stayed under 44.5°C with only a 2.6°C delta, sustaining peak charging without hotspots.
  • Apple-Tencent Deal Could Unlock WeChat Mini-Game Revenue, Reshape App Store Economics
    November 14, 2025, 5:26 AM EST. Apple's China advisor indicates a revenue-sharing pact with Tencent could bring WeChat's mini-games into Apple's services fold, a move that would reshape how super-apps operate inside iOS. This is more than an app-store tweak; it could become a multi-billion-dollar revenue engine for Apple at a moment of slowing Greater China iPhone sales. WeChat's mini-games generated substantial revenue in 2024 and boast hundreds of millions of monthly users, giving Tencent a vast, loyal audience. A standard 30% Apple commission on mini-programs could deliver roughly RMB 15 billion (~$2B) in incremental revenue. The plan tests Apple's gatekeeper role while letting Tencent's WeChat ecosystem thrive within a controlled iOS environment.
  • Boards and CEOs Must Align on AI Deployment and Its Workforce Impact
    November 14, 2025, 5:24 AM EST. Effective AI deployment demands clear delineation of duties between the CEO and the board. The article argues that as AI accelerates workforce disruption and productivity pressures, executives must shape deployment with a focus on employees, while the board exercises governance over human capital. It notes mass layoffs, reskilling mandates, and shifts away from labor hoarding as signals that AI strategy cannot be managed in isolation. The NACD recommends boards monitor the potential negative impact of AI on jobs and ensure technology augments rather than replaces human capabilities. Ultimately, collaboration between leadership and the board is essential to balance value creation with responsible people strategy.
  • AI shopping wars: Google, Amazon and OpenAI race to own online checkout
    November 14, 2025, 5:18 AM EST. Tech giants are racing to embed AI-powered shopping tools into their services, hoping to own the next phase of the web. Google, Amazon and OpenAI aim to monetize shopper attention as AI assistants handle product searches, stock checks and checkout. Salesforce projects AI-driven online sales to reach about $73 billion globally, or 22% of orders, with AI traffic up 119% YoY in H1 2025. Google unveiled features like Let Google Call to check stock and promotions, shopping within the Gemini app, and price-triggered orders. Amazon has expanded with its Rufus assistant and AI recommendations. The race could determine which platform dominates the future of online shopping and how retailers and consumers interact with the web. OpenAI and Perplexity are also players in this shift.
  • OnePlus 15: the battery powerhouse for long days without charging
    November 14, 2025, 5:14 AM EST. Allison Johnson calls the OnePlus 15 a battery-powerhouse, thanks to a 7,300mAh silicon-carbon battery that can easily stretch to two days of use. In real-world testing, even with aggressive settings, it held up far longer than many flagships. The phone also sports a sharp display and solid performance, but notes some bloatware creeping into OxygenOS. Silicon-carbon cells may degrade faster, yet OnePlus promises over 80% health after four years and four years of OS upgrades plus two years of security updates. For battery-anxious buyers, the OnePlus 15 feels like a strong proposition, especially as rivals chase lighter builds with shorter runtimes.