25 abr 2023

Google Authenticator ahora permite varios dispositivos y migrar la cuenta

Uno de los métodos más efectivos para protegernos ante ataques basados en haber conseguido nuestras credenciales es el uso de métodos de autenticación en dos factores, algo que permite que, si el atacante en cuestión consigue iniciar sesión en nuestra cuenta, seguirá sin tener acceso físico a nuestro dispositivo, impidiendo el acceso.

Sin embargo, en ocasiones el acceso físico a dicho dispositivo puede ser algo inconveniente, razón por la que algunos usuarios aún no hacen uso de estos esquemas de autenticación. Es por ello que Google ha lanzado una nueva versión de Google Authenticator 6.x que permitirá sincronizar nuestros códigos 2FA entre varios dispositivos.

Esto permitirá contar siempre con una copia de nuestros códigos de acceso, evitando que si perdemos nuestro smartphone o nos lo roban, nos quedemos sin acceso a varias cuentas de usuario, facilitando también el cambio de un smartphone a otro cuando sea el momento de cambiar de terminal.

Google Authenticator fue lanzado en 2010 como una forma fácil y gratuita para que los sitios agreguen la autenticación de dos factores (2FA) "algo que tienes" que refuerza la seguridad del usuario al iniciar sesión. Mientras se avanzan hacia un futuro sin contraseña, los códigos de autenticación siguen siendo una parte importante de la seguridad, por lo que este cambio se agradece.

Sin duda, se trata de unos cambios que hacían falta en la aplicación de Google Authenticator, que ha recibido un lavado de cara muy necesario de cara a hacerla funcionar mejor y que, en general, sea no solo más segura, sino más útil para los usuarios y más sencilla de usar, algo que aumenta la adopción.

Envío de todos los códigos 2FA sin cifrar

La empresa ciberseguridad Mysk, han detectado que Google Authenticator está enviando todos los códigos almacenados en el terminal a los servidores de Google sin ningún tipo de protección, es decir, no está cifrando el envío de estos datos para tener privacidad y seguridad. El equipo de Mysk ha analizado el tráfico de red cuando la aplicación está sincronizando estas "claves" o también llamados "secretos", y han llevado a la conclusión de que no se está cifrando extremo a extremo todos los datos.

Esto significa varias cosas: Google puede ver todos los secretos de los diferentes servicios que nosotros subamos, incluso es posible que los pueda ver mientras estén almacenados en sus servidores. No hay posibilidad de añadir una contraseña para proteger estos "secretos", para que solamente nosotros podamos acceder a ellos y nadie más.

Este comportamiento de Google Authenticator es catastrófico. Cada código QR que nosotros escaneamos con el terminal móvil, lleva un "secreto" o también conocido como "token" que es el que se utiliza para generar los códigos temporales de un solo uso. Si alguien conoce este token, podría generar exactamente los mismos códigos que nosotros, pudiendo evadir sin ningún problema el segundo factor de autenticación.

Esto, no obstante, cambiará en un futuro pues, según podemos leer en The Verge, Google planea agregar cifrado de extremo a extremo a Authenticator, y lo afirma en base a unos mensajes de Christiaan Brand, gerente de producto de Google. No hay de momento, eso sí, una fecha concreta (o al menos ésta no se ha hecho pública), por lo que quizá todavía tengamos que esperar algún tiempo, pero tranquiliza saber que su implementación sí que está en la lista de tareas pendientes de la compañía.

En su situación actual, son muchos los usuarios que prefieren no emplear la sincronización en la nube de Google Authenticator, algo más que comprensible. Y en respuesta a esas reservas, la app sigue permitiendo su uso en el modo tradicional, es decir, que la información se mantiene exclusivamente en local y, por lo tanto, no pasa en ningún momento por los servidores de Google.

Fuentes:

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!