🎁 ¡AliExpress Big Save Day! ¡Cupones hasta 50€ en tecnología, consolas y más! [Más info ]
Google añadió hace un par de días una función muy solicitada en su aplicación Authenticator: la posibilidad de salvaguardar y sincronizar los códigos de doble factor de autenticación con tu cuenta de Google.
Esto significa que los usuarios de Google Authenticator pueden transferir «secretos» entre varios dispositivos, de modo que incluso si pierdes el dispositivo principal en el que tenías instalada la aplicación, puedes restaurarla en un dispositivo secundario y seguir utilizando la autenticación de dos factores (2FA).
Sin embargo, una empresa de seguridad ha revelado ahora un posible gran fallo en el diseño de esta funcionalidad de sincronización, que puede disuadir a algunos usuarios de seguir aprovechándola.
Los investigadores de seguridad de Mysk han informado de que la sincronización de los secretos de Google Authenticator entre dispositivos no está cifrada de extremo a extremo (E2E).
Por si no estás familiarizado, se usa un secreto para generar códigos 2FA (doble factor de autenticación) que son utilizados por los usuarios para iniciar sesión en varias cuentas. Dado que estos secretos no tienen cifrado E2E en la implementación de Google, un atacante que ponga en peligro la red, la cuenta de Google o la infraestructura relacionada podría acceder fácilmente a estos secretos y hacerse con el control de los códigos 2FA.
Por tanto, aunque sincronizar los secretos 2FA entre dispositivos es cómodo, se hace a expensas de tu privacidad
Google ha admitido que el cifrado E2E es deficiente en su actual despliegue de la funcionalidad de sincronización en Authenticator. Dice que esto se debe a su deseo de añadir cuanto antes una funcionalidad muy solicitada que añade comodidad, e implementará el cifrado E2E después, lo cual es irónico ya que hace varios años que los clientes solicitan la sincronización.
En una declaración a CNET, Google señaló que:
El cifrado de extremo a extremo (E2EE) es una potente función que proporciona protecciones adicionales, pero a costa de permitir que los usuarios queden bloqueados de sus propios datos sin posibilidad de recuperación.
Para asegurarnos de que estamos ofreciendo un conjunto completo de opciones para los usuarios, también hemos comenzado a desplegar E2EE opcional en algunos de nuestros productos, y tenemos previsto ofrecer E2EE para Google Authenticator en el futuro.
Por tanto, si te preocupa mucho la seguridad, la recomendación es no utilizar la función de sincronización de Google Authenticator hasta que se añada el cifrado E2EE. Sin embargo, Google tampoco ha dado fechas tentativas, por lo que no se sabe cuándo llegará.