Lo que necesitas saber
- Los investigadores de Mysk descubrieron que Google Authenticator no cifra de extremo a extremo los códigos 2FA de los usuarios.
- Google puede ver los "secretos" necesarios para los códigos 2FA, lo que hace que los usuarios sean vulnerables a las violaciones de datos.
- Christiaan Brand de Google respondió afirmando que hay planes para llevar E2EE a Google Authenticator en el futuro.
Tras la tan esperada actualización de Google Authenticator, la empresa de software Mysk emitió una advertencia para que los usuarios no habiliten la función por temor a que la función no sea segura.
La actualización en cuestión introducido recientemente una opción de sincronización para códigos de un solo uso, que permitiría a los usuarios almacenarlos en sus cuentas de Google. La idea era ayudar a prevenir una situación en la que se bloquee el acceso de un usuario a todas sus cuentas, ya que esos códigos únicos se almacenaron previamente en el dispositivo en el que se instaló la aplicación.
Mysk encontró evidencia de que los usuarios interesados en usar la función deben tener en cuenta que el tráfico de red generado por la aplicación Authenticator no está encriptado de extremo a extremo. Una persona con intenciones maliciosas podría robar el "secreto" o la "semilla" que se utiliza para generar su código QR 2FA. Con eso, sus esfuerzos por crear una barrera de seguridad más fuerte serían discutibles.
Google acaba de actualizar su aplicación 2FA Authenticator y agregó una función muy necesaria: la capacidad de sincronizar secretos entre dispositivos. TL; DR: No lo enciendas. La nueva actualización permite a los usuarios iniciar sesión con su cuenta de Google y sincronizar los secretos 2FA en sus dispositivos iOS y Android... pic.twitter.com/a8hhelupZR26 de abril de 2023
Ver más
Además, Mysk menciona que los códigos QR 2FA tienen la capacidad de contener otra información sobre usted, como el nombre de su cuenta y el nombre del servicio para el que es el código. La especulación sugiere que Google podría usar esta información para bombardearlo con anuncios personalizados en todos sus servicios, pero esto podría significar un peligro para los usuarios. Mysk afirma que si Google alguna vez sufriera una violación de datos, su información volaría directamente hacia ellos.
En respuesta, Christiaan Brand, gerente de producto de Google, explicó la falta de E2EE de Authenticator en un Pío el jueves. Si bien la aplicación no ofrece la protección de seguridad que los usuarios agradecerían, hay planes para ofrecer encriptación más adelante. Afirma que Google encripta sus datos de todas sus aplicaciones, incluido el Autenticador, cuando está "en tránsito y en reposo".
"En este momento, creemos que nuestro producto actual logra el equilibrio adecuado para la mayoría de los usuarios y brinda beneficios significativos sobre el uso fuera de línea", continúa Brand. Además, la inclusión de un cifrado más fuerte como E2E podría resurgir la posibilidad de que los usuarios queden bloqueados de sus cuentas.
Sin embargo, como anteriormente mencionada y Brand lo reiteró, la sincronización de la cuenta de Google Authenticator es completamente opcional. Si los usuarios se sienten más seguros usando la aplicación en un estado sin conexión, con control sobre cómo respaldan su información, todavía está disponible para ellos.