La seguridad de Google en entredicho: su Authenticator 2FA vuelve al servicio menos seguro

La seguridad de Google ha quedado en entredicho; de hecho, una nueva actualización de la aplicación Google Authenticator ha suscitado críticas de los desarrolladores. Al parecer, han expuesto a los usuarios a violaciones de privacidad y seguridad.

Una brecha a tener en cuenta

A principios de esta semana, Google lanzó una actualización para Android e iOS, que permite a los usuarios realizar copias de seguridad de sus códigos de autenticación de un solo uso en la nube. Sin embargo, los investigadores han observado que el tráfico de red para este proceso no está cifrado de extremo a extremo.

El dúo que ha investigado esto alegó que sin el cifrado adecuado, los secretos de autentificación de dos factores podrían ser vistos por Google, o en el peor de los casos, por ciberdelincuentes.

«Un ciberdelincuente puede generar los mismos códigos de un solo uso y anular la protección 2FA. Por lo tanto, si alguna vez hay una violación de datos, o si alguien obtiene acceso a tu cuenta de Google, tu autentificación 2FA y datos se verían comprometidos.»

Declaraciones de Mysk, los programadores que han alertado del fallo de seguridad.

Mejor ser precavidos

Mysk también afirmó que, como los códigos QR 2FA contienen datos relativos al nombre del servicio al que se refieren. Google podría acceder a ellos para ofrecer a los usuarios anuncios personalizados.

El analista de seguridad Graham Cluely se hizo eco de las conclusiones de Mysk, afirmando lo siguiente: «No deberías activar la función, ya que Google no la ha implementado de forma que defienda bien tu seguridad».

Ironscales recauda 8 millones más para IA anti phishing

Una función demandada desde hace tiempo

Sin embargo, esta función solicitada desde hace tiempo, ha sido añadida por Google en reconocimiento a la frustración que algunos usuarios sentían cuando un dispositivo estaba vinculado a varias cuentas.

«Uno de los principales comentarios que hemos recibido de los usuarios a lo largo de los años, ha sido la complejidad a la hora de gestionar la pérdida o el robo de dispositivos que tenían instalado Google Authenticator», escribió Christiaan Brand, director de producto de Google en este blog.

Y no es para menos, ya que dado que los códigos de un solo uso en Authenticator sólo se almacenaban en un único dispositivo. La pérdida de ese dispositivo suponía perder la capacidad de iniciar sesión en cualquier servicio con 2FA activado.

La seguridad siempre al servicio del usuario

Microsoft ya había permitido las copias de seguridad en la nube en Microsoft Authenticator, su servicio de autentificación. De hecho, su página de documentación ha indicado hasta qué punto las claves enviadas a la nube están cifradas con AES-256. Así, la seguridad de los usuarios se estableced como una prioridad, y está garantizada.

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments

Relacionados

Tendencias

Más leídos

Se habla de..

0
Would love your thoughts, please comment.x
()
x