Descubierta falta de cifrado de extremo a extremo en la actualización de la app de 2FA de Google

El 25 de abril, los investigadores de seguridad Tommy Mysk y Talal Haj Bakry, conocidos en Twitter como Mysk, advirtieron a los usuarios de la aplicación de autenticación de dos factores (2FA) de Google Authenticator que no activen una nueva función de sincronización. Mysk descubrió una falla en la función en la que las "claves secretas" o credenciales compartidas entre dispositivos no están cifradas de extremo a extremo, lo que podría permitir a atacantes o a Google ver esas credenciales.

Descubierta falta de cifrado de extremo a extremo en la actualización de la app de 2FA de Google - Seguridad | Imagen 1 Newsmatic

Christiaan Brand, gerente de productos de grupo de Google, Seguridad e Identidad, tuiteó que la aplicación Authenticator se envió según lo previsto.

Ir a:

  • ¿Qué trae la actualización a la aplicación Authenticator de Google?
  • ¿Cuál es la vulnerabilidad de seguridad?
  • Cómo usar la aplicación Google Authenticator de manera segura
  • Cómo ha respondido Google a esta noticia de seguridad
Índice de Contenido
  1. ¿Qué trae la actualización a la aplicación Authenticator de Google?
  2. ¿Cuál es la vulnerabilidad de seguridad en el 2FA de Google?
  3. Cómo usar la aplicación Google Authenticator de manera segura
  4. Cómo ha respondido Google a esta noticia de seguridad

¿Qué trae la actualización a la aplicación Authenticator de Google?

En dispositivos Android e iOS, los usuarios pueden sincronizar las credenciales de 2FA para iniciar sesión en varios servicios, como las redes sociales. El cambio se produjo cuando Google habilitó su aplicación Authenticator de 2FA para sincronizar las credenciales en diferentes dispositivos. Esta es una función "muy necesaria", según Mysk, ya que facilita el acceso a una cuenta incluso si no se puede acceder al dispositivo en el que se inició sesión originalmente. Sin embargo, la nueva función de sincronización viene con una falla importante.

¿Cuál es la vulnerabilidad de seguridad en el 2FA de Google?

En resumen, el tráfico de red utilizado para sincronizar las claves secretas en Google Authenticator no está cifrado de extremo a extremo. Cada "secreto" dentro de los códigos QR de 2FA se utiliza para generar un código único; cuando la aplicación Authenticator sincroniza los secretos entre dispositivos, se envían en un formato que Google o atacantes pueden ver. No hay una configuración a través de la cual un usuario pueda proteger con contraseña o de otra manera ocultar sus secretos de 2FA. (Mysk señaló que Google Chrome admite contraseñas para un uso similar).

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Si alguien adquiere tu cuenta de Google a través de una brecha de datos u otros medios, podrían encontrar los secretos de 2FA que desbloquean las protecciones de la cuenta.

La falta de cifrado de extremo a extremo también significa que Google tiene una vista transparente de los servicios que utiliza cada propietario de cuenta; esta es información que Google podría utilizar para dirigir anuncios personalizados. También podría revelar el nombre de las cuentas, incluidas aquellas como cuentas de Twitter profesionales y personales, que podrían no estar enlazadas públicamente.

Cabe destacar que Mysk encontró que la aplicación no expone las credenciales de 2FA asociadas con la cuenta de Google del usuario.

Cómo usar la aplicación Google Authenticator de manera segura

Utilizar Google Authenticator sin conexión y sin vincularlo a tu cuenta de Google es una forma de evitar este problema de seguridad, al igual que no usar la función de sincronización. Sin embargo, ambas opciones eliminan gran parte de la utilidad de la nueva actualización.

En Twitter, Mysk escribió: "En resumen, aunque sincronizar secretos de 2FA en diferentes dispositivos es conveniente, se hace a expensas de tu privacidad. Afortunadamente, Google Authenticator aún ofrece la opción de usar la aplicación sin iniciar sesión o sincronizar secretos. Recomendamos usar la aplicación sin la nueva función de sincronización por ahora".

Cómo ha respondido Google a esta noticia de seguridad

Brand respondió a estas preocupaciones en Twitter, diciendo que las "protecciones adicionales" ofrecidas por el cifrado de extremo a extremo se dejaron de lado para equilibrar "el costo de permitir que los usuarios se queden bloqueados fuera de sus propios datos sin posibilidad de recuperación".

Cómo proteger tu computadora de los virus: métodos y consejos

Añadió: "Para asegurarnos de ofrecer a los usuarios un conjunto completo de opciones, hemos comenzado a implementar el cifrado de extremo a extremo opcional en algunos de nuestros productos, y tenemos planes de ofrecerlo también para Google Authenticator en el futuro".

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Descubierta falta de cifrado de extremo a extremo en la actualización de la app de 2FA de Google , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.