www.mil21.es
Peligro: Google Authenticator, envía todos tus códigos sin cifrar
Ampliar

Peligro: Google Authenticator, envía todos tus códigos sin cifrar

Por José Rodríguez
lunes 01 de mayo de 2023, 12:19h

Escucha la noticia

Hoy en día, la mayoría de los servicios ofrecen la opción de configurar un segundo factor de autenticación para proteger nuestras cuentas. Además del usuario y contraseña, se requiere un código que puede ser recibido por SMS, email o generado por una aplicación autenticadora como Google Authenticator. Recientemente, Google ha añadido una característica importante a su app gratuita para Android e iOS: la sincronización de códigos 2FA entre varios dispositivos y la posibilidad de hacer una copia de seguridad en nuestra cuenta de Google. Sin embargo, se ha descubierto que estos códigos son enviados sin cifrar, lo que podría comprometer nuestras cuentas si alguien los captura. Aunque muchos usuarios confían en Google Authenticator para generar códigos temporales desde sus smartphones, esta app tiene una debilidad: los códigos siempre se almacenan localmente en el dispositivo, lo que significa que si cambiamos de terminal, tendremos que desactivar y volver a activar el 2FA capturando el código QR en otro dispositivo.

Recientemente, Google ha lanzado una importante actualización para su aplicación Google Authenticator. Antes de esta actualización, los códigos 2FA sólo se almacenaban localmente, lo que significaba que no se podía hacer una copia de seguridad ni acceder a ellos desde la nube. Si cambiábamos de teléfono, teníamos que generar nuevos códigos 2FA para cada cuenta y si perdíamos o nos robaban el teléfono, debíamos desactivar la protección a través de correos electrónicos con nuestra cuenta principal.

Muchos usuarios han confiado en Latch o en aplicaciones como Authy para la autenticación de dos factores. Estas aplicaciones permiten realizar una copia de seguridad y sincronización en la nube, lo que hace que cambiar de dispositivo móvil sea sencillo. Sin embargo, la funcionalidad de sincronización ha sido pedida durante muchos años y aunque finalmente ha llegado, su implementación no es adecuada en la aplicación.

La compañía de desarrollo y ciberseguridad, Mysk, ha descubierto que Google Authenticator está enviando los códigos almacenados en el dispositivo a los servidores de Google sin protección alguna. Según el análisis del tráfico de red realizado por Mysk, la aplicación no cifra extremo a extremo los datos cuando se sincronizan las claves o secretos. Esto implica un riesgo para la privacidad y seguridad de los usuarios.

Según el autor, Google tiene acceso a todos los servicios que subimos y puede ver los secretos almacenados en sus servidores. No es posible agregar una contraseña para proteger estos secretos y evitar que otros accedan a ellos. Además, el comportamiento de Google Authenticator es preocupante ya que cada código QR escaneado contiene un token que se utiliza para generar códigos temporales de un solo uso. Si alguien conoce este token, podría evadir fácilmente el segundo factor de autenticación.

Si alguien logra hackear nuestra cuenta de Google utilizando diversas técnicas, tendría acceso a todos los tokens almacenados en ella y podría acceder al segundo factor de autenticación de cada uno de los servicios. Es importante tener en cuenta que cuando registramos un servicio 2FA en Google Authenticator, proporcionamos información descriptiva sobre el servicio para poder acceder a él y ver el código temporal de un solo uso. Además, Google puede ver todos los servicios que estamos usando con el segundo factor de autenticación, lo que significa que estamos compartiendo más información de la que pensamos.

Según se indica, aunque la funcionalidad es crucial, no se aconseja utilizarla en este momento debido a la falta de medidas de seguridad adecuadas para proteger los tokens de Google y evitar posibles hackeos informáticos.

¿Te ha parecido interesante esta noticia?    Si (1)    No(0)

+
0 comentarios