Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
abril
(Total:
76
)
- El ransomware BlackCat
- ¿Qué es la extensión de un archivo en Windows?
- Telegram como sucursal y paraíso del ciber crimen
- 76 detenidos por estafar mediante SMS fraudulentos...
- Google consigue una orden judicial para desmantela...
- Microsoft comunica que ya no habrá más versiones d...
- Microsoft Edge filtra los sitios web que visitas a...
- Intel sufre las mayores pérdidas de su historia tr...
- Hackean un satélite de la Agencia Espacial Europea...
- Google añadirá cifrado de extremo a extremo a Auth...
- Hackean a Coca-Cola Femsa México
- Aumentan los ataques de ransomware a sistemas de v...
- Microsoft mejora Phone Link para iOS
- Plugins para administrar y securizar Kubernetes
- El FBI y la Policía Nacional España detiene en Mad...
- El Centro Europeo para la Transparencia Algorítmic...
- VirusTotal añade la inteligencia artificial a su m...
- Millones de ordenadores escolares ChromeBook dejan...
- La botnet Mirai utiliza routers vulnerables TP-Lin...
- Varios empleados de Google pidieron detener la int...
- Si tienes un dominio .net lo podrían confiscar sin...
- Un canal de TV argentino emite ‘Super Mario Bros. ...
- Google Authenticator ya permite guardar una copia ...
- Los grupos de ransomware más activos
- Ruso acusado de lavar dinero del grupo de ransomwa...
- Trucos para móviles Samsung
- Nueva inteligencia artificial crea modelos fictici...
- Servidores Microsoft SQL hackeados para implementa...
- El FBI advierte sobre el "Juicejacking", los riesg...
- Unrecord es el shooter FPS más realista que has visto
- Facebook pagará una multa millonaria a usuarios en...
- Ciberdelincuentes utilizan capturas de pantalla pa...
- El CEO de Google advierte: "la sociedad no está pr...
- Miles de datos internos y de exempleados de Telepi...
- Experta en inteligencia artificial que Google desp...
- El FBI y la Interpol no quieren que WhatsApp y otr...
- Roban coches con un Nokia 3310 y unos altavoces bl...
- ¿Qué es el Business Email Compromise?
- Mejores DNS: dns más seguros y privados
- Pegasus sigue siendo usando en México contra los d...
- Utilizan Google Drive para exfiltrar información r...
- Nuevos métodos de distribución del Malware QBot
- Afiliado del grupo ransomware BlackCat atacando Ve...
- Magi será el nuevo buscador de Google impulsado po...
- Estados Unidos debate condenar a 20 años de prisió...
- Cómo un grupo de gamers expuso una de las filtraci...
- Exfiltración de datos a través de PowerShell del g...
- Involucran Alcasec en el mayor hackeo a Telefónica...
- Google anuncia un fondo de asistencia legal para h...
- Investigaciones OSINT en la Dark Web
- Más de un millón de sitios WordPress infectados po...
- Intel y ARM anuncian un acuerdo para la fabricació...
- Nuevas funciones adicionales de seguridad para Wha...
- El Bitcoin consume como una ciudad de 8 millones d...
- ¿Era Steve Jobs el verdadero Satoshi Nakamoto, el ...
- Utilizan grave vulnerabilidad en iPhone Calendar p...
- 0-day en Windows es explotado por el ransomware No...
- Twitter ya no existe como compañía; ahora es X Corp
- Hyundai España sufre un ciberataque que compromete...
- Microsoft lleva cinco años ralentizando Firefox co...
- Empleados de Samsung filtraron información confide...
- El foro oficial de Kodi ha sido hackeado
- Empleados de Tesla compartieron vídeos íntimos de ...
- Un nuevo ransomware es capaz de cifrar 220 mil fic...
- Vulnerabilidad crítica en biblioteca VM2 de NodeJS
- Nueva York denuncia a Amazon por guardar datos bio...
- Marcas y modelos de discos duros: Seagate vs Weste...
- La IA puede descifrar la mayoría de contraseñas en...
- Fabricante MSI víctima de un ataque de ransomware ...
- El FBI desmantela Genesis Market, el mayor mercado...
- Archivos autoextraíbles SFX son utilizados para ej...
- El proyecto Tor presenta su nuevo navegador Mullvad
- Hackean Western Digital y todos sus servicios en ...
- Incidente de seguridad afecta a los clientes de Yo...
- Detenido Alcasec por hackear el Punto Neutro Judic...
- Italia bloquea ChatGPT por no respetar la protecci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Google añadirá cifrado de extremo a extremo a Authenticator
Por fin, Google Authenticator ofrece la posibilidad de emplear la nube para compartir nuestras «llaves» de acceso a los servicios que hayamos configurado en el mismo en varios dispositivos. Esto supone una enorme mejora en la solución de la compañía para la gestión de claves 2FA, ya sabes, el sistema de seguridad que refuerza la contraseña de acceso con un código único de inicio de sesión que se debe emplear de manera adicional a la contraseña. Muchos servicios ofrecen varias alternativas para esta clave única, de entre las cuales el recibir un mensaje SMS es la más popular, pero desde luego no la más segura.
Si todavía no has empleado Google Authenticator, Authy ni apps similares, en realidad su funcionamiento es bastante sencillo. Tan solo debes indicar en el servicio que quieres proteger con este sistema que vas a emplear 2FA (el servicio en cuestión debe soportarlo, claro), indicar que emplearás una app de este tipo, escanear un código BIDI desde la misma y, automáticamente, la app empezará a generar códigos aleatorios temporales. Así, cuando quieras acceder al servicio, tan solo tendrás que introducir tus credenciales y, en un segundo paso, escribir también la clave vigente en ese momento y que podrás ver en la app.
El problema con estas apps es que, si pierdes el acceso a las mismas… pierdes también el acceso a todos los sitios en los que necesitas emplear las claves temporales que generan. Sin embargo, con la sincronización en la nube que ya ofrece Google Authenticator desde principios de semana este riesgo se reduce sustancialmente, pues en caso de perder el acceso en un dispositivo, si lo has configurado en otro seguirás teniendo acceso a los códigos temporales. Así, esta es una gran noticia que, sin embargo, pasó a no serlo tanto cuando se supo que, en esta primera implementación de la función, la sincronización de Google Authenticator en la nube no emplea cifrado de extremo a extremo.
Envío de todos los códigos 2FA sin cifrar
Según Mysk, una empresa de desarrollo y ciberseguridad, han detectado que Google Authenticator está enviando todos los códigos almacenados en el terminal a los servidores de Google sin ningún tipo de protección, es decir, no está cifrando el envío de estos datos para tener privacidad y seguridad. El equipo de Mysk ha analizado el tráfico de red cuando la aplicación está sincronizando estas «claves» o también llamados «secretos», y han llevado a la conclusión de que no se está cifrando extremo a extremo todos los datos. Esto significa varias cosas:
- Google puede ver todos los secretos de los diferentes servicios que nosotros subamos, incluso es posible que los pueda ver mientras estén almacenados en sus servidores.
- No hay posibilidad de añadir una contraseña para proteger estos «secretos», para que solamente nosotros podamos acceder a ellos y nadie más.
Este comportamiento de Google Authenticator es catastrófico. Cada código QR que nosotros escaneamos con el terminal móvil, lleva un «secreto» o también conocido como «token» que es el que se utiliza para generar los códigos temporales de un solo uso. Si alguien conoce este token, podría generar exactamente los mismos códigos que nosotros, pudiendo evadir sin ningún problema el segundo factor de autenticación.
Esto, no obstante, cambiará en un futuro pues, según podemos leer en The Verge, Google planea agregar cifrado de extremo a extremo a Authenticator, y lo afirma en base a unos mensajes de Christiaan Brand, gerente de producto de Google. No hay de momento, eso sí, una fecha concreta (o al menos ésta no se ha hecho pública), por lo que quizá todavía tengamos que esperar algún tiempo, pero tranquiliza saber que su implementación sí que está en la lista de tareas pendientes de la compañía.
En su situación actual, son muchos los usuarios que prefieren no emplear la sincronización en la nube de Google Authenticator, algo más que comprensible. Y en respuesta a esas reservas, la app sigue permitiendo su uso en el modo tradicional, es decir, que la información se mantiene exclusivamente en local y, por lo tanto, no pasa en ningún momento por los servidores de Google.
Fuentes:
https://www.muycomputer.com/2023/04/27/google-anadira-cifrado-de-extremo-a-extremo-a-authenticator/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.