Google Authenticator ahora permite sincronizar su 2FA (autenticación de dos factores) con su cuenta de Google. De esta manera, puede iniciar sesión en las aplicaciones con su cuenta de Google cuando el teléfono no esté disponible. Sin embargo, los investigadores de seguridad dicen que esta función podría representar un riesgo para la seguridad de los usuarios.
Google Authenticator es una de las aplicaciones más populares para configurar la autenticación de dos factores y recibir códigos. La aplicación es gratuita, confiable y cuenta con el respaldo de Google. En una actualización reciente, Google abordó una de las mayores preocupaciones de los usuarios al permitirles sincronizar la aplicación Authenticator con su cuenta de Google.
La empresa dice que esta función haría que”los códigos únicos sean más duraderos al almacenar de forma segura en las cuentas de Google de los usuarios”. Los códigos 2FA se respaldarán de forma segura en la cuenta de Google. Serán fácilmente accesibles cuando pierda su teléfono o quiera configurar un nuevo dispositivo.
Por supuesto, Google aún le permite usar la aplicación Authenticator sin sincronizarla con su cuenta de Google. Además, la aplicación tiene un nuevo ícono y ajustes de diseño para una mejor experiencia de usuario.
Los investigadores de seguridad advierten sobre la sincronización de la aplicación Google Authenticator con la cuenta de Google
Si bien la función podría resultar conveniente para usuarios, los investigadores de seguridad de la compañía de software Mysk dicen que el tráfico en la aplicación Authenticator no está encriptado de extremo a extremo. Esto significa que un tercero, como un empleado de Google, podría ver los códigos 2FA que usa para iniciar sesión en las cuentas. Las cosas podrían empeorar si un ciberdelincuente pudiera acceder a su cuenta de Google.
Los investigadores de Mysk agregan además que los códigos 2FA contienen otra información, como nombres de cuentas y servicios. Google podría usar estos datos para personalizar anuncios. Por supuesto, dicen los investigadores, “las exportaciones de datos de Google no incluyen los secretos 2FA que se almacenan en la cuenta de Google del usuario. Descargamos todos los datos asociados con la cuenta de Google que usamos y no encontramos rastros de los secretos de 2FA”.
En respuesta a los investigadores de Mysk, Gerente de Producto de Identidad y Seguridad de Google Christiaan Brand, señaló que cifran los datos en todos los productos, incluida la aplicación Authenticator. Sin embargo, dice que E2EE [cifrado de extremo a extremo] podría hacer que los usuarios no puedan acceder a sus propios datos sin recuperación. Es por eso que Google comenzó a implementar E2EE opcional para algunos de sus productos. El Autenticador también obtendrá la función pronto.
“En este momento, creemos que nuestro producto actual logra el equilibrio adecuado para la mayoría de los usuarios y brinda beneficios significativos sobre el uso sin conexión”. Marca añadida. “Sin embargo, la opción de usar la aplicación sin conexión seguirá siendo una alternativa para aquellos que prefieran administrar su estrategia de copia de seguridad ellos mismos”.