Google Authenticator implementará el cifrado de extremo a extremo para las copias de seguridad en la nube tras las quejas de investigadores que advierten de los riesgos de la última actualización de la 'app', con la que se podrían comprometer códigos de doble factor (2FA) e información de los usuarios.
Esta aplicación ofrece un inicio de sesión basado en la autenticación multifactor. Con ella, los usuarios pueden enviar al dispositivo móvil vinculado un código de un solo uso para poder validar sus credenciales, como una capa más de seguridad.
La compañía tecnológica lanzó el pasado martes una actualización para Google Authenticator en la que posibilita crear una copia de seguridad de los códigos de un solo uso en la propia cuenta de Google. De esta forma, se evita que el usuario dependa del móvil vinculado a la hora de validar sus credenciales y pueda hacerlo desde cualquier dispositivo con su cuenta de Google.
Sin embargo, investigadores de Mysk han recomendado a los usuarios no descargar esta actualización ya que, tras analizar el tráfico de la red cuando la aplicación sincroniza estos códigos, descubrieron que no estaba cifrado de extremo a extremo.
Esto implica que, en el proceso de sincronización, Google tiene acceso a estos códigos, según han explicado desde Mysk a través de una publicación de Twitter. De hecho, es probable que Google continúe teniendo acceso a esta información «incluso mientras están almacenados en sus servidores».
Con esta situación, la protección de doble factor de Google Authenticator pierde su efectividad a la hora de garantizar una capa extra de seguridad y puede poner en riesgo la información sensible de los usuarios.
Tal y como detallan los investigadores, cada código 2FA contiene un «secreto» o «semilla» que se utiliza para generar los códigos de un solo uso. En base a ello, si se alcanza a conocer este «secreto», se podrían generar los mismos códigos y, por tanto, anular la protección del doble factor.
Más allá de que Google tenga acceso a estas «semillas», los investigadores advierten que, en caso de que suceda una violación de datos o alguien consiga acceso a la cuenta de Google de un usuario, «todos los »secretos« 2FA se verán comprometidos».
Además de todo ello, los investigadores recuerdan que los códigos de protección de doble factor «suelen contener otra información». Por ello, también se podrían ver comprometidos datos como el nombre de la cuenta o el nombre del servicio al que esté destinado ese código, como Amazon o Twitter.
Con esta información, Google puede conocer qué servicios usan los usuarios y utilizar esta información para sacar provecho, por ejemplo, introduciendo anuncios personalizados.
Agrega el cifrado de extremo a extremo
En este marco, Google ha indicado que comenzará a agregar el cifrado de extremo a extremo para este servicio de Google Authenticator en las próximas actualizaciones, aunque esta implementación se está realizando con «medidas cuidadosas» para que los usuarios no queden bloqueados por este sistema.
Tal y como ha explicado el gerente de Producto de Google, Christian Brand, a BleepingComputer, el cifrado de extremo a extremo puede provocar que los usuarios "queden bloqueados de sus propios datos sin recuperación".
En este sentido, ha asegurado que desde Google están comenzando a implementar el cifrado de extremo a extremo «opcional en alguno de sus productos» y, tras ello, planean ofrecer esta tecnología para Google Authenticator «en el futuro».
«La seguridad de nuestros usuarios es primordial en todo lo que hacemos en Google y es una responsabilidad que nos tomamos muy en serio», sentenció Brand en sus declaraciones. Por ello, ha subrayado que la última actualización de Google Authenticator se llevó a cabo «con esa misión en mente».
"Tomamos medidas cuidadosas para asegurarnos de poder ofrecerla a los usuarios de una manera que proteja su seguridad y privacidad, pero que también sea útil y conveniente", finalizó el gerente de producto de Google.