Activar la sincronización de cuentas de Google Authenticator implica un riesgo de seguridad

🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]

Google añadió hace un par de días una función muy solicitada en su aplicación Authenticator: la posibilidad de salvaguardar y sincronizar los códigos de doble factor de autenticación con tu cuenta de Google.

Esto significa que los usuarios de Google Authenticator pueden transferir «secretos» entre varios dispositivos, de modo que incluso si pierdes el dispositivo principal en el que tenías instalada la aplicación, puedes restaurarla en un dispositivo secundario y seguir utilizando la autenticación de dos factores (2FA).

Sin embargo, una empresa de seguridad ha revelado ahora un posible gran fallo en el diseño de esta funcionalidad de sincronización, que puede disuadir a algunos usuarios de seguir aprovechándola.

Los investigadores de seguridad de Mysk han informado de que la sincronización de los secretos de Google Authenticator entre dispositivos no está cifrada de extremo a extremo (E2E).

Por si no estás familiarizado, se usa un secreto para generar códigos 2FA (doble factor de autenticación) que son utilizados por los usuarios para iniciar sesión en varias cuentas. Dado que estos secretos no tienen cifrado E2E en la implementación de Google, un atacante que ponga en peligro la red, la cuenta de Google o la infraestructura relacionada podría acceder fácilmente a estos secretos y hacerse con el control de los códigos 2FA.

Por tanto, aunque sincronizar los secretos 2FA entre dispositivos es cómodo, se hace a expensas de tu privacidad

Google ha admitido que el cifrado E2E es deficiente en su actual despliegue de la funcionalidad de sincronización en Authenticator. Dice que esto se debe a su deseo de añadir cuanto antes una funcionalidad muy solicitada que añade comodidad, e implementará el cifrado E2E después, lo cual es irónico ya que hace varios años que los clientes solicitan la sincronización.

En una declaración a CNET, Google señaló que:

El cifrado de extremo a extremo (E2EE) es una potente función que proporciona protecciones adicionales, pero a costa de permitir que los usuarios queden bloqueados de sus propios datos sin posibilidad de recuperación.

Para asegurarnos de que estamos ofreciendo un conjunto completo de opciones para los usuarios, también hemos comenzado a desplegar E2EE opcional en algunos de nuestros productos, y tenemos previsto ofrecer E2EE para Google Authenticator en el futuro.

Por tanto, si te preocupa mucho la seguridad, la recomendación es no utilizar la función de sincronización de Google Authenticator hasta que se añada el cifrado E2EE. Sin embargo, Google tampoco ha dado fechas tentativas, por lo que no se sabe cuándo llegará.

🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]

¿Cuál es tu reacción?
Sorprendido
0%
Feliz
0%
Indiferente
0%
Triste
0%
Enfadado
0%
Aburrido
0%
Incrédulo
0%
¡Buen trabajo!
0%
Sobre el Autor
Luis A.
Luis es el creador y editor jefe de Teknófilo. Se aficionó a la tecnología con un Commodore 64 e hizo sus pinitos programando gracias a los míticos libros de 🛒 'BASIC para niños' con 11 años. Con el paso de los años, la afición a los ordenadores se ha extendido a cualquier cacharrito que tenga una pantalla y CPU.
Comentarios
Deja un comentario

Deja un comentario