¿Sabías que Google Authenticator no era seguro hasta ahora? Puede ser difícil de aceptar, pero es verdad. Google ahora planea agregar cifrado de extremo a extremo a Google Authenticator. Hace unos días, los investigadores de seguridad criticaron a la empresa por no agregar un alto nivel de seguridad a su herramienta premium.
En respuesta a las críticas, la empresa está implementando una función de sincronización de cuentas de Google Authenticator. El gerente de producto de Google, Christiaan Bran, escribe en su cuenta de Twitter que la compañía planea ofrecer E2EE en el futuro. El Sr. Brand escribe,
“Por ahora, creemos que nuestro producto actual logra el equilibrio adecuado para la mayoría de los usuarios y ofrece beneficios significativos sobre el uso sin conexión. Sin embargo, la opción de usar la aplicación sin conexión sigue siendo una opción para aquellos que prefieren administrar su propia estrategia de respaldo”.
Google Authenticator obtiene autenticación de extremo a extremo…
Fue impactante saber que Google Authenticator no tiene una función de seguridad confiable. A principios de esta semana, la herramienta había comenzado a mostrar a sus usuarios una opción de autenticación de dos factores. Esta opción permite a los usuarios sincronizar códigos de autenticación de dos factores con sus cuentas de Google. Esto facilitará que los usuarios inicien sesión en sus cuentas de Google en dispositivos nuevos.
Este es un cambio bienvenido, pero puede generar algunos problemas de seguridad. Con este cambio, los piratas informáticos pueden acceder a todas las cuentas de Google vinculadas de un usuario accediendo a una sola. Una cosa es segura, los piratas informáticos e incluso Google no podrán ver la información de los usuarios si esta característica obtiene soporte E2EE. Mysk, un investigador de seguridad, señaló estos riesgos en Twitter. Dicho:
«Si alguna vez hay una violación de datos o alguien obtiene acceso a su cuenta de Google, todos sus secretos 2FA se verán comprometidos».
Según los investigadores, Google podrá acceder a la información del usuario para mostrar anuncios personalizados sin E2EE. Aconsejaron a los usuarios que no usen esta función hasta que Google agregue soporte E2EE. A cambio, Brand respondió a los críticos diciendo:
“Si bien Google cifra los datos en tránsito y en reposo en todos nuestros productos, incluido Google Authenticator, el uso de E2EE se produce a expensas de bloquear a los usuarios para que no puedan recuperar sus propios datos.
En este momento, no estamos seguros de cuándo agregará Google la función E2EE a Google Authenticator. Sin embargo, los usuarios tienen la opción de habilitar esta función sin E2EE o pueden continuar usándola sin conexión.
