Google ha lanzado una actualización de su popular aplicación de autenticación que almacena un "código de un solo uso" en la nube, lo que permite a los usuarios que han perdido el dispositivo con su autenticador en él mantener el acceso a su autenticación de dos factores (2FA).
En una entrada del blog del 24 de abril en la que se anunciaba la actualización, Google dijo que los códigos de un solo uso se almacenarían en la cuenta de Google del usuario, alegando que los usuarios estarían "mejor protegidos contra bloqueos" y que aumentaría "la comodidad y la seguridad".
En una publicación de Reddit del 26 de abril en el foro r/Cryptocurrency, el redditor u/pojut escribió que, aunque la actualización ayuda a quienes pierden el dispositivo con su aplicación de autenticación, también los hace más vulnerables a los hackers.
Al guardarlo en el almacenamiento en la nube asociado a la cuenta de Google del usuario, significa que cualquiera que pueda acceder a la contraseña de Google del usuario obtendría posteriormente acceso completo a sus aplicaciones vinculadas al autenticador.
El usuario sugirió que una posible forma de evitar el problema de autenticación de dos factores vía SMS es utilizar un teléfono antiguo que se use exclusivamente para alojar la aplicación del autenticador.
"También te sugiero encarecidamente que, si es posible, tengas un dispositivo independiente (quizás un teléfono o una tableta antiguos) cuyo único propósito sea utilizar la aplicación de autenticación que elijas. No guardes nada más en él y no lo utilices para nada más".
Del mismo modo, Mysk, desarrolladores de ciberseguridad, utilizaron Twitter para advertir de las complicaciones adicionales que conlleva la solución 2FA de Google basada en el almacenamiento en la nube.
Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.
— Mysk (@mysk_co) April 26, 2023
TL;DR: Don't turn it on.
The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR
Google acaba de actualizar su aplicación 2FA Authenticator y ha añadido una función muy necesaria: la posibilidad de sincronizar secretos (secrets) entre dispositivos.
TL;DR: No lo actives.
La nueva actualización permite a los usuarios iniciar sesión con su cuenta de Google y sincronizar secretos 2FA a través de sus dispositivos iOS y Android...
Esto podría resultar ser una preocupación importante para los usuarios que utilizan Google Authenticator como 2FA para iniciar sesión en sus cuentas de intercambio de criptomonedas y otros servicios relacionados con las finanzas.
Otros problemas de seguridad de la autenticación 2FA
El hackeo 2FA más común es un tipo de fraude de identidad conocido como "SIM swapping" o intercambio de tarjetas SIM, que consiste en que los estafadores se hacen con el control de un número de teléfono engañando al proveedor de telecomunicaciones para que vincule el número a su propia tarjeta SIM.
Un ejemplo reciente de este tipo de fraude es la demanda presentada contra Coinbase, el exchange de criptomonedas con sede en Estados Unidos, en la que un cliente afirmaba haber perdido "el 90% de los ahorros de toda su vida" tras ser víctima de un ataque de este tipo.
Cabe destacar que el propio Coinbase fomenta el uso de aplicaciones de autenticación para 2FA en lugar de SMS, describiendo los SMS 2FA como la forma "menos segura" de autenticación.
I'm guessing his password was compromised because it was used on other sites, one of which got breached. Also, Coinbase encourages Authenticator app for 2FA by labeling it "secure" and SMS as "moderately secure".
— Dave Ferguson (@_sc0rn) March 7, 2023
Supongo que su contraseña fue comprometida porque se utilizó en otros sitios, uno de los cuales fue violado. Además, Coinbase fomenta la aplicación Authenticator para 2FA etiquetándola como "segura" y SMS como "moderadamente segura".
- Relacionado: La OFAC de EEUU sanciona a traders que convirtieron criptomonedas para el colectivo norcoreano Lazarus Group
En Reddit, los usuarios discutieron la demanda e incluso propusieron que se prohibiera el uso de SMS 2FA, aunque un usuario de Reddit señaló que actualmente se mantiene como la única opción de autenticación disponible para una serie de servicios fintech y relacionados con las criptomonedas:
"Lamentablemente, muchos de los servicios que utilizo aún no ofrecen Authenticator 2FA. Pero definitivamente creo que el enfoque SMS ha demostrado ser inseguro y debería prohibirse".
La firma de seguridad Blockchain CertiK ha advertido de los peligros de usar SMS de verificación en dos pasos, con su experto en seguridad Jesse Leclere diciendo a Cointelegraph que "SMS 2FA es mejor que nada, pero es la forma más vulnerable de 2FA actualmente en uso".
Magazine: 4 de cada 10 ventas de NFT son falsas: Aprende a detectar las señales de las operaciones de lavado
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
- Pasos sencillos para mantener tus criptomonedas a salvo
- Encuesta: el 25% de los usuarios de criptomonedas no aseguran los activos tan bien como creen
- El exchange de criptomonedas Kraken hace obligatoria la autenticación de dos factores y crea un nuevo laboratorio de seguridad
- Estadounidense de 21 años es arrestado, presunto intercambiador de SIM por supuesto robo de USD 1 millón en criptomonedas
- La compañía criptominera CoinMine asegura USD 2.5 millones en ronda de financiación inicial
- La Enterprise Ethereum Alliance abre una oficina regional en China
- Apple elimina silenciosamente el libro blanco de bitcoin de la última beta de MacOS, revela un informe