Un grupo de investigadores especializado en ciberseguridad ha descubierto que la nueva función de Google Authenticator no es todo lo segura que debería.
Google ha necesitado varios años para actualizar su app de autenticación en dos pasos e introducir una de las funciones más esperadas por los usuarios: la posibilidad de sincronizar los códigos de un solo uso con la cuenta de Google, de forma que sea posible acceder a ellos a través de cualquier dispositivo asociado a la misma cuenta, siempre y cuando se cuente con la app instalada.
Pero, además de llegar tarde, lo ha hecho mal. Tal y como ha revelado un grupo de investigadores especializado en ciberseguridad, la opción que permite sincronizar los códigos de un solo uso con la cuenta de Google carece de una de las medidas de seguridad esenciales que toda app de este tipo debería incluir, y por esa razón, se recomienda mantener desactivada esta opción, al menos hasta que Google ponga solución.
La función de sincronización de Google Authenticator no incluye cifrado de extremo a extremo
Una vez Google activó la opción de sincronizar los códigos de verificación en dos pasos entre varios dispositivos a través de la cuenta de Google, los investigadores decidieron comprobar si las medidas de seguridad adoptadas por Google eran suficientes.
Tras profundizar en el funcionamiento de este sistema de sincronización analizando el tráfico de red generado por la aplicación, se descubrió que el contenido enviado no se encuentra cifrado de extremo a extremo.
Esto significa que Google puede leer el contenido, y que terceros que puedan estar conectados a la misma red podrían llegar a interceptar la información necesaria para generar nuevos códigos y obtener así acceso a las cuentas de los usuarios.
Aunque deben darse varias condiciones para que los códigos de verificación de los usuarios estén en peligro (los investigadores afirman que debería producirse una filtración de datos o que alguien acceda a tu cuenta de Google), actualmente se recomienda evitar riesgos y mantener desactivada la opción de sincronización introducida recientemente en Google Authenticator, o bien usar una app alternativa donde guardar los códigos de verificación en dos pasos de forma segura.
Google responde a la polémica
Ante la información revelada por los investigadores de Mysk, un representante de Google, el mánager de producto Christiaan Brand confirmaba en Twitter que Google tiene intención de añadir cifrado de extremo a extremo en Google Authenticator en el futuro**, y que a día de hoy, se ha preferido ofrecer una experiencia equilibrada de cara a los usuarios, que aporte ventajas significativas frente al uso de la aplicación sin usar la sincronización.
Pese a ello, explica que la opción de usar Authenticator sin sincronizar los códigos sigue estando disponible para todas aquellas personas que prefieren gestionar manualmente las copias de seguridad de sus códigos.
Fuente info
Autor: Christian Collado