Tras varios años sin cambios sustanciales, Google Authenticator se actualizó para permitir la sincronización de códigos en la nube. Si bien esta función resolvió uno de sus grandes inconvenientes, la implementación quedó a deber en términos de seguridad. La falta de un cifrado de extremo a extremo (E2E) dejaría vulnerables las claves de un solo uso, no obstante, Google confirmó que añadirá esta función más adelante.
Christiaan Band, gerente de producto en la gran G, publicó una serie de tweets que abordan los riesgos de seguridad de Google Authenticator. Band dijo que su objetivo es ofrecer características que protejan a los usuarios, pero que sean útiles y convenientes. «Ciframos los datos en tránsito y en reposo en todos nuestros productos, incluso en Google Authenticator», dijo Band.
El cifrado E2E, según Band, es una característica poderosa que brinda protección adicional, pero a costa de permitir que los usuarios queden bloqueados sin poder recuperar sus datos. Esto último es similar a lo que ocurría en la versión anterior de Google Authenticator, en donde las claves se perdían si la persona no podía acceder al dispositivo en donde se encontraba la app.
Aunque Band asegura que la versión actual de Google Authenticator logra el equilibrio adecuado para la mayoría de los usuarios, existen planes para reforzar la seguridad añadiendo cifrado de extremo a extremo.
Para asegurarnos de ofrecer a los usuarios un conjunto completo de opciones, comenzamos a implementar el cifrado E2E opcional en algunos de nuestros productos y tenemos planes de ofrecer E2EE para Google Authenticator en el futuro.
Aquellos que no deseen sincronizar Google Authenticator en la nube podrán seguir utilizando la aplicación offline, en donde los códigos de un solo uso se almacenarán de manera local en el dispositivo.
¿Por qué es importante el cifrado de extremo a extremo en Google Authenticator?
Tommy Mysk, uno de los dos investigadores de seguridad que descubrieron la ausencia del cifrado E2E en Google Authenticator, mencionó por qué es importante esta característica. Mysk, junto a Talal Haj Bakry, analizaron el tráfico de red mientras la aplicación se sincronizaba con los servidores de Google. Según los expertos, la falta del cifrado implica que Google podría ver tus claves, incluso cuando ya se encuentren almacenadas.
Cada código QR de autenticación en dos pasos (2FA) contiene un secreto, o una semilla, que se utiliza para generar los códigos de un solo uso. Si alguien más conoce el secreto, puede generar los mismos códigos únicos y anular las protecciones 2FA. Si alguna vez hay una violación de datos o si alguien obtiene acceso a su cuenta de Google, todos sus secretos 2FA se verán comprometidos.
Mysk
Este no es el único inconveniente, ya que según los investigadores, los códigos QR suelen contener otra información, como el nombre de la cuenta y el nombre del servicio. Al tener acceso a estos datos, Google sabría qué servicios utilizas para enviarte anuncios personalizados. «Permitir que un gigante tecnológico sediento de datos establezca un gráfico de todas las cuentas y servicios que tiene cada usuario no es algo bueno», dijo Mysk a Gizmodo.
Mysk y otros investigadores de ciberseguridad recomiendan no iniciar sesión en Google Authenticator hasta que se implemente el cifrado de extremo a extremo. «Aunque la sincronización de secretos 2FA entre dispositivos es conveniente, se produce a expensas de su privacidad», dijeron.