Las pruebas realizadas por investigadores de ciberseguridad han revelado una falla en la nueva función de Authenticator, la aplicación de autenticación de dos factores de Google. Su consejo es claro: no lo actives.
A veces la seguridad es más importante que la practicidad. A principios de esta semana, el gigante californiano anunció una novedad que muchos usuarios estaban esperando: el uso de Authenticator en varios dispositivos al mismo tiempo gracias a la sincronización con una cuenta de Google.
La aplicación de generación de códigos únicos para establecer doble autenticación -además de la contraseña- en determinados sitios, se benefició así de una actualización que, sobre el papel, parece bastante práctica. Especialmente si se pierde el teléfono inteligente utilizado, lo que provoca que se bloquee el acceso a la cuenta.
Se detectó una falla alarmante
Los desarrolladores de aplicaciones y los expertos en ciberseguridad observaron más de cerca cómo funciona esta nueva función y descubrieron que los datos transmitidos no estaban cifrados de extremo a extremo.
“Probamos la función tan pronto como Google la lanzó. Nos dimos cuenta de que la aplicación no ofrecía la opción de usar una frase de contraseña para proteger los ‘secretos'”. el experto Tommy Mysk le dijo a Gizmodo.
“Esto significa que Google puede ver los secretos, probablemente incluso cuando están almacenados en sus servidores”, escribió el equipo de Mysk en Twitter después de analizar el tráfico de red entre la aplicación y los servidores de Google. Por lo tanto, si estos servidores se ven comprometidos, un atacante podría generar sus propios códigos de autenticación y tomar el control de sus cuentas asociadas.
En resumen: “No activar”
“En pocas palabras: si bien la sincronización de secretos 2FA entre dispositivos es conveniente, afecta su privacidad”, agrega Mysk antes de recomendar “usar la aplicación sin la nueva función de sincronización por ahora”. Por ahora, si la posibilidad de una invasión de ciberdelincuentes en Google sigue siendo pequeña, lo más importante que debe recordar es que esta empresa puede acceder a sus datos para identificar las aplicaciones que utiliza.
“Permitir que un gigante tecnológico hambriento de datos como Google mapee la cuenta y el servicio de cada usuario no es algo bueno”, dijo Mysk. Christiaan Brand, gerente de producto de Google, respondió anunciando que pronto se implementará el cifrado de extremo a extremo para mantener la privacidad de los datos, incluso fuera de la vista de Google. Mientras tanto, la solución más simple es hacer un sacrificio en términos de practicidad.
elementos principales
“Escritora típica. Practicante de comida malvada. Genio zombi. Introvertido. Lector. Erudito de Internet. Entusiasta del café incondicional”.
:quality(85)//cloudfront-us-east-1.images.arcpublishing.com/infobae/TNDRDH5NBNHAZCCFDMHDYAJNXE.jpg)
