Uno de los métodos más efectivos para protegernos ante ataques basados en
haber conseguido nuestras credenciales es el uso de métodos de autenticación
en dos factores, algo que permite que, si el atacante en cuestión consigue iniciar sesión en
nuestra cuenta, seguirá sin tener acceso físico a nuestro dispositivo,
impidiendo el acceso.
Sin embargo, en ocasiones el acceso físico a dicho dispositivo puede ser algo
inconveniente, razón por la que algunos usuarios aún no hacen uso de estos
esquemas de autenticación. Es por ello que Google ha lanzado una nueva versión
de
Google Authenticator 6.x
que
permitirá sincronizar nuestros códigos 2FA entre varios dispositivos.
Esto permitirá contar siempre con una copia de nuestros códigos de acceso,
evitando que si perdemos nuestro smartphone o nos lo roban, nos quedemos sin
acceso a varias cuentas de usuario, facilitando también el cambio de un
smartphone a otro cuando sea el momento de cambiar de terminal.
Google Authenticator fue lanzado en 2010 como una forma fácil y gratuita para
que los sitios agreguen la autenticación de dos factores (2FA)
«algo que tienes» que refuerza la seguridad del usuario al iniciar
sesión. Mientras se avanzan hacia un
futuro sin contraseña, los códigos de autenticación siguen siendo una parte importante de la
seguridad, por lo que este cambio se agradece.
Sin duda, se trata de unos cambios que hacían falta en la aplicación de Google
Authenticator, que ha recibido un lavado de cara muy necesario de cara a
hacerla funcionar mejor y que, en general, sea no solo más segura, sino más
útil para los usuarios y más sencilla de usar, algo que aumenta la adopción.
Envío de todos los códigos 2FA sin cifrar
La empresa ciberseguridad Mysk, han detectado que Google Authenticator está
enviando todos los códigos almacenados en el terminal a los servidores de
Google sin ningún tipo de protección, es decir, no está cifrando el envío de
estos datos para tener privacidad y seguridad. El equipo de Mysk ha analizado
el tráfico de red cuando la aplicación está sincronizando estas «claves» o
también llamados «secretos», y han llevado a la conclusión de que no se está
cifrando extremo a extremo todos los datos.
Esto significa varias cosas: Google puede ver todos los secretos de los
diferentes servicios que nosotros subamos, incluso es posible que los pueda
ver mientras estén almacenados en sus servidores. No hay posibilidad de añadir
una contraseña para proteger estos «secretos», para que solamente nosotros
podamos acceder a ellos y nadie más.
Este comportamiento de Google Authenticator es catastrófico. Cada código QR que
nosotros escaneamos con el terminal móvil, lleva un «secreto» o también conocido
como «token» que es el que se utiliza para generar los códigos temporales de un
solo uso. Si alguien conoce este token, podría generar exactamente los mismos
códigos que nosotros, pudiendo evadir sin ningún problema el segundo factor de
autenticación.
Esto, no obstante, cambiará en un futuro pues, según
podemos
leer en The Verge, Google planea agregar cifrado de extremo a extremo a Authenticator, y lo
afirma en base a unos mensajes de Christiaan Brand, gerente de producto de
Google. No hay de momento, eso sí, una fecha concreta (o al menos ésta no se ha
hecho pública), por lo que quizá todavía tengamos que esperar algún tiempo, pero
tranquiliza saber que su implementación sí que está en la lista de tareas
pendientes de la compañía.
En su situación actual, son muchos los usuarios que prefieren no emplear la
sincronización en la nube de Google Authenticator, algo más que comprensible.
Y en respuesta a esas reservas, la app sigue permitiendo su uso en el modo
tradicional, es decir, que la información se mantiene exclusivamente en local
y, por lo tanto, no pasa en ningún momento por los servidores de Google.
Fuentes:
Los comentarios están cerrados.