·  ·  · 

Caída de inicio de sesión en X: el cambio de clave de seguridad a X.com deja fuera a los usuarios mientras Twitter.com finalmente desaparece (13 de noviembre de 2025)

noviembre 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

Millones de usuarios de X (anteriormente Twitter) que hicieron “todo bien” en cuanto a la seguridad de sus cuentas han pasado las últimas 24 horas bloqueados, atrapados en bucles interminables de autenticación en dos pasos y recibiendo un mensaje confuso:

“Debe volver a inscribir su YubiKey.”

El fallo está directamente relacionado con el prolongado esfuerzo de Elon Musk por borrar los últimos rastros de twitter.com y trasladar completamente los inicios de sesión a x.com — una transición de marca y dominio que los críticos ya consideraban uno de los cambios de marca más desordenados en la tecnología. [1]

Esto es lo que sucedió, lo que hay de nuevo hoy (13 de noviembre de 2025) y lo que puedes hacer si tu cuenta de X está actualmente atrapada en el infierno de la autenticación.

Qué pasó: el cambio de clave de seguridad de X sale mal

Entre el 24 y el 27 de octubre, X advirtió discretamente a los usuarios que si utilizaban una clave de seguridad física (como una YubiKey) o una passkey para la autenticación en dos pasos (2FA), debían volver a inscribirla para el nuevo dominio x.com antes del 10 de noviembre de 2025, o corrían el riesgo de quedarse fuera. [2]

El equipo de Seguridad de X recalcó en ese momento que:

  • El cambio “no estaba relacionado con ningún incidente de seguridad,”
  • Solo afectaba a las claves de seguridad y passkeys,
  • Y era necesario porque esas claves están criptográficamente vinculadas a twitter.com, que X quiere retirar. [3]

Medios de seguridad como BleepingComputer y The Register explicaron que una vez que twitter.com desaparezca, las claves vinculadas a ese dominio simplemente no funcionarán — por lo que deben volver a registrarse en x.com. [4]

Ese era el plan.

La realidad llegó esta semana.

12–13 de noviembre: error de YubiKey y bucles infinitos de inicio de sesión

A partir de la noche del 12 de noviembre (hora de EE. UU.) y hasta las primeras horas del 13 de noviembre de 2025, los usuarios de X comenzaron a informar que ya no podían iniciar sesión en la web o en el móvil:

  • Después de ingresar su contraseña, se les informaba que “deben volver a inscribir [su] YubiKey” para asociarla con x.com. [5]
  • Cuando intentaron seguir las instrucciones, el flujo simplemente… se repetía en bucle.
  • Algunos nunca tuvieron una YubiKey, pero aun así se vieron obligados a pasar por la misma pantalla de “volver a registrar su YubiKey”. [6]

Android Central, Windows Central y TechCrunch documentaron el mismo patrón: un problema global de inicio de sesión para cuentas vinculadas a llaves de seguridad o passkeys, que a menudo resultaba en un callejón sin salida de verificación o bloqueo total incluso cuando los usuarios seguían correctamente las instrucciones. [7]

El medio especializado en seguridad The Tech Buzz lo describió sin rodeos como una “migración de llaves de seguridad” fallida que convirtió el mantenimiento de dominios en un “infierno de autenticación” para los usuarios más preocupados por la seguridad de la plataforma. [8]

Actualización de hoy (13 de noviembre de 2025): Recuperación parcial, caos persistente

Nuevos reportes y publicaciones de usuarios hoy sugieren que lo peor de la caída está disminuyendo, pero no todos han recuperado el acceso aún.

Redacciones: Problema confirmado, X sigue mayormente en silencio

  • NewsBytes informa que X está “enfrentando un problema importante tras un cambio obligatorio en la autenticación de dos factores”, dejando a los usuarios “atrapados en bucles infinitos o completamente bloqueados”, y señala que X no ha hecho comentarios públicos sobre el fallo. [9]
  • Storyboard18 también describe una “actualización de seguridad fallida” que bloqueó a los usuarios o los atrapó en bucles de inicio de sesión — remarcando nuevamente que X no ha ofrecido una explicación oficial mientras Elon Musk sigue publicando normalmente desde su propia cuenta. [10]
  • Tech Buzz actualizó su historia esta mañana para reflejar los continuos fallos de autenticación y la persistente falta de un comunicado formal por parte de X. [11]

TechCrunch señala que X “no respondió a la solicitud de comentarios”, incluso cuando su propia cobertura sobre el inicio de sesión detallaba bucles infinitos y bloqueos generalizados tras la fecha límite del 10 de noviembre. [12]

Reportes de usuarios: reversión en curso, pero no universal

El blog en vivo de Windows Central, citando fuentes internas, informó el 12 de noviembre que los ingenieros de X estaban revirtiendo los cambios recientes, y para media tarde el redactor pudo volver a iniciar sesión mientras los reportes de caída en DownDetector empezaban a disminuir. [13]

En las comunidades r/Yubikey y r/Twitter de Reddit, los usuarios describen: [14]

  • Problemas globales con el flujo de inicio de sesión con YubiKey/passkey de X.
  • Mensajes confusos para “volver a registrar tu YubiKey” incluso para personas que solo usaban passkeys o apps autenticadoras.
  • Una oleada de comentarios esta mañana como “Ya puedo entrar” y “Solucionado en ambas cuentas”junto a otros que dicen que siguen bloqueados.

Un comentario ampliamente compartido en Reddit hace referencia a una publicación de un ingeniero verificado de X que afirma que el “problema de inicio de sesión con llave de seguridad debería resolverse pronto”, pero la solución claramente se está implementando de forma desigual: algunas cuentas funcionan de nuevo, otras siguen atascadas en el bucle. [15]

Resumen para el 13 de noviembre:

  • La caída está mejorando pero aún no ha terminado.
  • Todavía no hay un informe público y detallado de X.

¿Quiénes están afectados — y quiénes no?

Según los reportes de la cobertura de hoy y publicaciones de usuarios: [16]

Los más afectados:

  • Cuentas que alguna vez configuraron:
    • Una llave de seguridad física (YubiKey o similar), o
    • Una passkey (autenticador de plataforma usando Face ID, Touch ID, Windows Hello, etc.)
  • Especialmente usuarios cuyas llaves fueron registradas originalmente cuando el servicio aún usaba twitter.com para iniciar sesión.

Mayormente no afectados (hasta ahora):

  • Cuentas que usan aplicaciones autenticadoras (apps TOTP),
  • Cuentas que usan códigos SMS o por correo electrónico para 2FA,
  • Cuentas sin 2FA (aunque eso se desaconseja fuertemente por seguridad).

Irónicamente, las personas que invirtieron en las protecciones más fuertes — tokens de hardware y passkeys — han sido las más perjudicadas por esta migración fallida. Varios informes de usuarios también sugieren que algunos usuarios sin llave fueron afectados por un flujo de inicio de sesión defectuoso que no detectó correctamente su configuración. [17]

Por qué el cambio de twitter.com → x.com rompió el inicio de sesión

Para entender la interrupción, hay que entender cómo funcionan las llaves de seguridad y las passkeys.

A diferencia de las contraseñas, las llaves de seguridad WebAuthn/FIDO2 y las passkeys están vinculadas a un dominio específico. Cuando registraste por primera vez una llave para twitter.com, se bloqueó criptográficamente a ese origen exacto. [18]

Así que cuando X decidió finalmente eliminar el dominio antiguo y mover los inicios de sesión completamente a x.com:

  1. Las llaves registradas en twitter.com dejaron de coincidir con el nuevo dominio.
  2. Por lo tanto, X requirió que los usuarios dieran de baja y volvieran a registrar sus llaves para x.com.
  3. El proceso de re-registro en sí parece haber estado roto, causando:
    • Bucles infinitos de regreso a la pantalla de “vuelve a registrar tu YubiKey”,
    • Solicitudes de inicio de sesión para YubiKeys en cuentas que solo usaban passkeys o aplicaciones,
    • Usuarios incapaces de acceder a la página de configuración donde debe hacerse el cambio. [19]

X Safety previamente tranquilizó a los usuarios diciendo que esto era un simple mantenimiento y “no relacionado con ningún problema de seguridad,” pero la ejecución claramente falló en las expectativas básicas de fiabilidad: las migraciones de seguridad se supone que deben hacer a las personas más seguras, no cerrarles la sesión en masa. [20]

¿Es esto un hackeo o una filtración de datos?

No hay ninguna evidencia hasta ahora de que este incidente sea un hackeo, filtración o ciberataque externo.

  • Las propias aclaraciones de X en octubre enmarcaron el restablecimiento de llaves como una migración de dominio, no como una respuesta a un incidente. [21]
  • Los informes actuales de NewsBytes, Storyboard18, TechBuzz, TechCrunch y otros relacionan la interrupción con una implementación fallida de la migración planificada de claves de seguridad, no con una vulneración de los sistemas de X. [22]

Dicho esto, X aún no ha compartido una explicación técnica detallada, por lo que los observadores externos siguen reconstruyendo la causa raíz a partir del comportamiento y comentarios internos filtrados.

Qué hacer si no puedes acceder a tu cuenta de X

Si actualmente estás atascado en el bucle de YubiKey/passkey, aquí tienes pasos prácticos extraídos de la propia guía anterior de X y de las recomendaciones de expertos en seguridad. [23]

1. Intenta desde un dispositivo donde ya hayas iniciado sesión

Si aún tienes una sesión activa de X en:

  • Un teléfono,
  • Una tableta, o
  • Otro perfil de navegador,

usa esa sesión iniciada para:

  1. Ir a Configuración → Seguridad y acceso a la cuenta → Seguridad → Autenticación en dos pasos.
  2. Temporalmente desactiva la antigua entrada de clave de seguridad/passkey que hace referencia a twitter.com.
  3. Agrega un método de 2FA de respaldo (aplicación de autenticación u otra llave de hardware) si aún no tienes uno.
  4. Vuelve a registrar tu YubiKey/passkey para x.com solo cuando los problemas de migración estén claramente resueltos.

2. Revisa otras opciones de 2FA

Algunos usuarios informan que aún pueden acceder mediante: [24]

  • Una aplicación de autenticación que configuraron previamente,
  • Códigos SMS o por correo electrónico,
  • Una llave de hardware de respaldo.

Si puedes autenticarte con alguno de esos métodos, ve directamente a la configuración y verifica:

  • Qué claves de seguridad están listadas,
  • Si tu clave ahora está vinculada a x.com,
  • Y que tienes al menos un método de respaldo funcional.

3. Usa el formulario de recuperación de cuenta de X

Si ningún método de inicio de sesión funciona y estás completamente bloqueado, tu única vía oficial es contactar al soporte de X a través de su formulario de “recuperar acceso a tu cuenta”, al que varios usuarios en Reddit dicen haber recurrido. [25]

Este proceso puede ser lento y no hay garantía de éxito, pero es la única ruta legítima de recuperación que X ofrece si el 2FA está roto.

4. Evita desactivar el 2FA por completo (si puedes evitarlo)

Las propias advertencias de X antes de la fecha límite decían que después del 10 de noviembre podrías: [26]

  • Volver a inscribir tu llave o passkey,
  • Cambiar a otro método de 2FA, o
  • Desactivar el 2FA por completo (lo cual ellos mismos “desaconsejan firmemente”).

A menos que absolutamente debas volver a entrar de inmediato y no tengas otras opciones, intenta no desactivar permanentemente el 2FA. Hacerlo expone tu cuenta a phishing, reutilización de contraseñas y ataques de SIM swap: justamente las amenazas que las llaves de seguridad buscan prevenir.

Si debilitas temporalmente tu seguridad para recuperar el acceso, planea:

  1. Agregar una app de autenticación o una llave de respaldo de inmediato, y
  2. Volver a habilitar un 2FA fuerte tan pronto como los sistemas de inicio de sesión de X sean estables.

5. Cuidado con correos de phishing y “soporte” falso

Incidentes como este son un imán para estafadores. Ten cuidado con:

  • Correos que dicen ser de “X Security” pidiéndote que “arregles” tu llave,
  • Mensajes directos ofreciendo restaurar tu cuenta por una tarifa,
  • Enlaces que parecen x.com pero no lo son (caracteres extra, subdominios extraños, etc.).

Si vas a hacer clic en algo, escribe x.com tú mismo en el navegador y navega por la interfaz oficial en vez de confiar en enlaces de mensajes.

Un último tropiezo para el largo y desordenado cambio de marca de X

Desde una perspectiva de marca, este apagón es simbólicamente brutal.

  • Sitio de diseño Creative Bloq calificó recientemente el cambio de imagen de Musk a X como “uno de los rebrandings más desordenados de la década”, señalando que la gente todavía se refiere instintivamente a la plataforma como “X, anteriormente conocido como Twitter” más de dos años después. [27]
  • Ese artículo señaló que uno de los últimos vestigios técnicos de Twitter — la URL twitter.comfinalmente estaba siendo retirada, con los inicios de sesión redirigiendo completamente a x.com.

Ahora, el simple hecho de enterrar twitter.com ha devuelto la antigua marca a los titulares, ya que los usuarios se quejan de que “Twitter volvió a equivocarse” mientras intentan arreglar los últimos rastros de… Twitter. [28]

Para los críticos, este incidente encaja en un patrón que han señalado desde la adquisición de Musk: cambios agresivos y de arriba hacia abajo implementados a gran velocidad, con equipos de ingeniería reducidos y aparentemente redes de seguridad limitadas. Numerosos medios hoy en día enmarcan explícitamente la caída como la última de una serie de tropiezos operativos desde la adquisición de $44 mil millones. [29]

¿Significa esto que las passkeys y las llaves de seguridad son una mala idea?

Respuesta corta: no — pero es una advertencia sobre cómo implementarlas.

Informes de BleepingComputer, The Verge y The Register enfatizan que las llaves de hardware y las passkeys siguen siendo algunas de las formas más seguras de autenticación disponibles hoy en día. Reducen drásticamente el riesgo de phishing porque solo responderán en el dominio exacto en el que fueron registradas. [30]

Lo que falló aquí no fue la tecnología subyacente. Fue:

  • Mala planificación de migración (forzando la reinscripción contra una fecha límite estricta),
  • Un proceso de reinscripción con errores sin una alternativa confiable,
  • Comunicación débil durante la caída, dejando a los usuarios depurar fallos de seguridad en público. [31]

Para otras plataformas que observan este desarrollo, la lección es clara:

Si vas a mover a millones de usuarios a un nuevo dominio con credenciales ligadas a hardware, necesitas pruebas a prueba de balas, un despliegue gradual y rutas de recuperación robustas.

Preguntas frecuentes: Interrupción de la clave de seguridad de X, 13 de noviembre de 2025

¿Qué provocó la interrupción de inicio de sesión de X?
Una migración forzada de claves de seguridad y passkeys del dominio twitter.com a x.com, combinada con un proceso de reinscripción defectuoso que atrapó a los usuarios en bucles de YubiKey/passkey y bloqueó el acceso a la configuración de la cuenta. [32]

¿Quiénes fueron los más afectados?
Usuarios que habían configurado claves de seguridad de hardware o passkeys para 2FA, especialmente aquellos cuyas claves se registraron originalmente cuando los inicios de sesión aún usaban twitter.com. Muchos de ellos quedaron temporalmente o aún completamente bloqueados. [33]

¿El problema ya está solucionado (13 de noviembre de 2025)?
Informes de Windows Central y Reddit muestran que muchos usuarios pueden iniciar sesión nuevamente después de que X aparentemente revirtió partes del cambio, pero otros siguen atascados, y X no ha publicado un análisis detallado del incidente. [34]

¿X fue hackeado?
No hay evidencia pública de un hackeo o filtración de datos. X y reportes de seguridad independientes atribuyen el incidente a una migración interna fallida de claves de seguridad, no a un ataque externo. [35]

¿Debo desactivar el 2FA en mi cuenta de X?
Solo como último recurso. Desactivar el 2FA hace que tu cuenta sea mucho más fácil de comprometer. Si debes debilitar la seguridad para recuperar el acceso, agrega una app de autenticación o una clave de respaldo y vuelve a activar el 2FA fuerte tan pronto como los sistemas de X se estabilicen. [36]

Al 13 de noviembre, la crisis se está resolviendo lentamente, pero el daño a la confianza de los usuarios —y a la ya controvertida renovación de marca de X— puede durar mucho más que la propia interrupción.

How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
Ver este vídeo en YouTube.

References

1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.reddit.com, 26. www.bleepingcomputer.com, 27. www.creativebloq.com, 28. www.creativebloq.com, 29. www.techbuzz.ai, 30. www.bleepingcomputer.com, 31. www.techbuzz.ai, 32. www.newsbytesapp.com, 33. www.techbuzz.ai, 34. www.windowscentral.com, 35. www.theregister.com, 36. www.bleepingcomputer.com

Mateusz Brzeziński

Technology News

  • What If AI Is a Bubble? An Inside Look at the AI Investment Surge
    November 14, 2025, 4:00 AM EST. Is the AI boom a bubble, or the dawn of a profitable new era? This Radio Atlantic episode dives into the money flooding the AI space, from Nvidia's $5 trillion valuation to a projected global spend nearing $500 billion by 2026. Experts debate whether the promise of breakthrough drugs, automated systems, and unlimited innovation justifies the enormous capital pouring into AI data centers and chips. Can AI pay for itself, or will energy demand, market risk, and political scrutiny trigger a correction? The discussion draws historical parallels to the dot-com era and 2008, and asks who bears losses if the bubble bursts. Amid the hype, ordinary Americans weigh what AI's growth could mean for jobs, wages, and the economy.
  • What a simplified, expendable Starship plan for the Moon could look like
    November 14, 2025, 3:58 AM EST. A discussion of a simplified Moon-landing architecture using an expendable Starship vs a fully reusable approach. An optimized, expendable variant could cut the number of tanker missions by up to 50%, but would raise costs and undermine the core goal of Starship: full reuse. SpaceX leadership stresses a shift to high cadence launches-targetting about 1 million tons of payload to orbit per year, largely propellant-making an all-expendable path unlikely. An alternative discussed is relying on SpaceX hardware alone, arguably resisted by NASA and Congress, who favor the existing SLS and Orion for Artemis. The piece also notes that a Moon landing with fewer refuelings could be possible, and offers one variant of such a plan, underscoring the ongoing tension between cost, cadence, and reuse.
  • Dan Ives' bull case for Tesla and Nvidia: AI, robotics, and the next trillion-dollar wave
    November 14, 2025, 3:54 AM EST. Wedbush analyst Dan Ives lays out a bullish case for Tesla and Nvidia, calling Tesla's AI chapter the most important in its history and Nvidia the 'godfather' of AI. He argues Tesla could own a large slice of the autonomous landscape over the next decade, with robotics and Autopilot shaping a multi-trillion-dollar future. For Nvidia, he sees demand vastly outpacing supply (10:1), with a potential market cap surge to about $6 trillion by 2026 and a continued upcycle that bears will fail to derail. The analyst expects strong AI-driven growth to grip both names, with Nvidia leading silicon supply and Tesla leveraging AI, autonomous driving, and Robotics/Optimus to create lasting value. Investors should be patient as this is a long-duration AI cycle, according to Ives.
  • Tesla's AI push in 2026: the hardest year for Autopilot, Optimus and robotaxis
    November 14, 2025, 3:52 AM EST. Tesla's AI division is bracing for a pivotal 2026 as it races to turn years of autonomy promises into commercial reality. Ashok Elluswamy warned the Autopilot, robotaxi, and Optimus teams that the year will be the toughest yet, with milestones tied to a new $1 trillion pay package and a nationwide robotaxi network. Musk has framed the year as a verdict on the company's ability to scale autonomous driving and humanoid robotics, signaling Autopilot taxis without safety drivers in several metros and Optimus production targets for late 2026. Analysts have long valued the AI and autonomous opportunity, while execution challenges persist: tighter margins, talent churn, and the need to move from ambitious slides to repeatable, real-world deployments.
  • 5 Things to Know Before Using an AI Browser
    November 14, 2025, 3:50 AM EST. AI browsers like OpenAI's Atlas and Perplexity's Comet.AI embed a chatbot in the browsing experience, offering on-page answers, clarifications, and an agent mode for tasks. But the trade-off is privacy: these tools can send personal data from the sites you visit to their servers, and Atlas can store a history with browser memories. Users have limited visibility into exactly which parts of a page are shared. Atlas lets you remove pages or block sites from being passed to ChatGPT, while Perplexity currently offers fewer controls. Traditional browsers don't see your page content, making them less data-hungry. Expect a data-sharing dynamic where your browsing context can be used to train models. Consider what data you're comfortable sharing before enabling AI features.