Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Google añadirá cifrado de extremo a extremo a Authenticator


Por fin, Google Authenticator ofrece la posibilidad de emplear la nube para compartir nuestras «llaves» de acceso a los servicios que hayamos configurado en el mismo en varios dispositivos. Esto supone una enorme mejora en la solución de la compañía para la gestión de claves 2FA, ya sabes, el sistema de seguridad que refuerza la contraseña de acceso con un código único de inicio de sesión que se debe emplear de manera adicional a la contraseña. Muchos servicios ofrecen varias alternativas para esta clave única, de entre las cuales el recibir un mensaje SMS es la más popular, pero desde luego no la más segura.






Si todavía no has empleado Google Authenticator, Authy ni apps similares, en realidad su funcionamiento es bastante sencillo. Tan solo debes indicar en el servicio que quieres proteger con este sistema que vas a emplear 2FA (el servicio en cuestión debe soportarlo, claro), indicar que emplearás una app de este tipo, escanear un código BIDI desde la misma y, automáticamente, la app empezará a generar códigos aleatorios temporales. Así, cuando quieras acceder al servicio, tan solo tendrás que introducir tus credenciales y, en un segundo paso, escribir también la clave vigente en ese momento y que podrás ver en la app.

El problema con estas apps es que, si pierdes el acceso a las mismas… pierdes también el acceso a todos los sitios en los que necesitas emplear las claves temporales que generan. Sin embargo, con la sincronización en la nube que ya ofrece Google Authenticator desde principios de semana este riesgo se reduce sustancialmente, pues en caso de perder el acceso en un dispositivo, si lo has configurado en otro seguirás teniendo acceso a los códigos temporales. Así, esta es una gran noticia que, sin embargo, pasó a no serlo tanto cuando se supo que, en esta primera implementación de la función, la sincronización de Google Authenticator en la nube no emplea cifrado de extremo a extremo.


Envío de todos los códigos 2FA sin cifrar

Según Mysk, una empresa de desarrollo y ciberseguridad, han detectado que Google Authenticator está enviando todos los códigos almacenados en el terminal a los servidores de Google sin ningún tipo de protección, es decir, no está cifrando el envío de estos datos para tener privacidad y seguridad. El equipo de Mysk ha analizado el tráfico de red cuando la aplicación está sincronizando estas «claves» o también llamados «secretos», y han llevado a la conclusión de que no se está cifrando extremo a extremo todos los datos. Esto significa varias cosas:

  • Google puede ver todos los secretos de los diferentes servicios que nosotros subamos, incluso es posible que los pueda ver mientras estén almacenados en sus servidores.
  • No hay posibilidad de añadir una contraseña para proteger estos «secretos», para que solamente nosotros podamos acceder a ellos y nadie más.

Este comportamiento de Google Authenticator es catastrófico. Cada código QR que nosotros escaneamos con el terminal móvil, lleva un «secreto» o también conocido como «token» que es el que se utiliza para generar los códigos temporales de un solo uso. Si alguien conoce este token, podría generar exactamente los mismos códigos que nosotros, pudiendo evadir sin ningún problema el segundo factor de autenticación.


Esto, no obstante, cambiará en un futuro pues, según podemos leer en The Verge, Google planea agregar cifrado de extremo a extremo a Authenticator, y lo afirma en base a unos mensajes de Christiaan Brand, gerente de producto de Google. No hay de momento, eso sí, una fecha concreta (o al menos ésta no se ha hecho pública), por lo que quizá todavía tengamos que esperar algún tiempo, pero tranquiliza saber que su implementación sí que está en la lista de tareas pendientes de la compañía.

En su situación actual, son muchos los usuarios que prefieren no emplear la sincronización en la nube de Google Authenticator, algo más que comprensible. Y en respuesta a esas reservas, la app sigue permitiendo su uso en el modo tradicional, es decir, que la información se mantiene exclusivamente en local y, por lo tanto, no pasa en ningún momento por los servidores de Google.


Fuentes:
https://www.muycomputer.com/2023/04/27/google-anadira-cifrado-de-extremo-a-extremo-a-authenticator/

https://www.redeszone.net/noticias/seguridad/no-uses-sincronizacion-google-authenticator-codigos-sin-cifrar/

https://twitter.com/mysk_co/status/1651021165727477763/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.