Google acaba de anunció en su blog de seguridad que la aplicación Authenticator de la compañía no solo está rediseñada con un logotipo nuevo y modernizado, sino también, y ¡finalmente, sincronización de cuenta para sus códigos! La aplicación nunca solía sincronizar en la nube sus códigos de autenticación, lo que genera mucha frustración y molestia no solo al configurarla, sino que si cambia de teléfono o actualiza, la aplicación debe configurarse nuevamente, lo que lleva a muchas personas a quedarse fuera de su cuentas que requieren estos códigos.
“Un comentario importante que hemos escuchado de los usuarios a lo largo de los años fue la complejidad de tratar con dispositivos perdidos o robados que tenían instalado Google Authenticator. Dado que los códigos de un solo uso en Authenticator solo se almacenaban en un solo dispositivo, la pérdida de ese dispositivo significaba que los usuarios perdían la capacidad de iniciar sesión en cualquier servicio en el que habían configurado 2FA usando Authenticator”.
Esto es genial y todo eso, pero en un giro extraño, estos códigos, aunque están sincronizados con su cuenta de Google para facilitar la configuración y recuperación en nuevos dispositivos, ¡no están encriptados de extremo a extremo! Este es un gran paso en falso de Google, y los usuarios están empezando a notar que esta solución está a medias.
Al no contar con encriptación E2E, estos podrían ser potencialmente expuestos o interceptados por terceros malintencionados. Según Mysk en Twitter, quien le dijo a Gizmodo sobre la falta de encriptación,”analizaron el tráfico de red cuando la aplicación sincroniza los secretos, y resulta el tráfico no está encriptado de extremo a extremo”, y afirmó: “Esto significa que Google puede ver los secretos, probablemente incluso mientras están almacenados en sus servidores. No hay opción para agregar una frase de contraseña para proteger los secretos, para que solo el usuario pueda acceder a ellos”.
Esencialmente, al hacer una copia de seguridad de sus códigos secretos, Google podría incluso verlos sin formato en sus servidores gracias a una”semilla”expuesta utilizada para generar sus códigos. Al obtener esa semilla, cualquiera podría crear sus propios códigos para su cuenta y usarlos para obtener acceso. Por supuesto, esto significa que si Google fuera pirateado y alguien obtuviera los datos del servidor donde se almacena esta información tuya, tendría acceso directo a todas tus cosas.
Google respondió rápidamente a esta situación a través de CNET afirmando que todavía está planeando implementar el cifrado E2E en su aplicación Authenticator a tiempo y que agregó la sincronización de cuentas por”conveniencia”a pesar de que choca con la idea misma de mantener a los usuarios a distancia de los riesgos y las preocupaciones de seguridad..
(1/4) Siempre nos enfocamos en la seguridad de @ usuarios de Google, y las actualizaciones más recientes de Google Authenticator no fueron una excepción. Nuestro objetivo es ofrecer funciones que protejan a los usuarios, PERO que sean útiles y convenientes.
— Christiaan Brand (@christiaanbrand) 26 de abril de 2023
Aún puede usar la aplicación sin sincronizar sus códigos secretos, lo que significa que para cualquier usuario que vea esto (hay muchos que sin saberlo sincronizarán sus cuentas de todos modos), le recomendaría que lo use como siempre lo ha hecho: desconectado de los servidores de Google. Déjame saber en los comentarios si usas el Autenticador de Google o si te cambiaste a otras soluciones como Authy.
