Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Es posible derribar la autenticación de dos factores de Google
Google reparó una vulnerabilidad que, en teoría, permitía a atacantes evadir la autenticación de doble factor implementada para proteger las cuentas de Google. Sin embargo, la compañía tardó siete meses en hacerlo.
Si la autenticación de doble factor es activada, Google solicita una contraseña de un solo uso además de la contraseña del usuario para iniciar sesión en su cuenta de Google. Esta contraseña de un solo uso es generada por una aplicación en un teléfono inteligente o puede ser enviada a través de un mensaje de texto. La solicitud de un elemento de autenticación adicional refuerza la seguridad de la cuenta y la protege de accesos no autorizados en caso de que las credenciales del usuario caigan en las manos equivocadas, ya que es necesario tener acceso al teléfono móvil asociado con la cuenta para poder iniciar sesión.
Sin embargo, existe una puerta trasera para evitar la autenticación de doble factor, la cual ha sido diseñada intencionalmente para las aplicaciones que no están configuradas para utilizar este tipo de autenticación. Esta puerta trasera lleva por nombre Contraseña Específica para la Aplicación (ASP por sus siglas en inglés). Por ejemplo, si un usuario desea utilizar Thunderbird para descargar su correo de una cuenta de Google que utiliza la autenticación de doble factor, solo es necesario generar una ASP, la cual es enviada por Thunderbird en lugar de la contraseña normal.
Este esquema de autenticación es vulnerable a la interceptación de la ASP. Si un atacante pudiera interceptar la ASP tendría acceso a los correos, entradas en el calendario y contactos sin la necesidad de contar con la contraseña de un solo uso. Bajo circunstancias normales, no debería ser posible tomar control de manera permanente de la cuenta de Google del usuario (cambiando la contraseña principal por ejemplo) usando solamente la ASP.
Sin embargo, fue precisamente lo que consiguió un grupo de investigadores de Duo Security. Fueron capaces de utilizar una ASP para acceder a la configuración de la cuenta, cambiar la contraseña principal e incluso deshabilitar la autenticación de doble factor utilizando una Interfaz de Programación de Aplicaciones (API por sus siglas en inglés) para Android.
Los investigadores reportaron sus hallazgos a Google en julio de 2012, pero la vulnerabilidad no fue corregida sino hasta finales de la tercera semana de febrero de 2013. Ahora, Google verifica si los intentos de acceder a la configuración de la cuenta son autenticados por la ASP, de ser así se solicita de manera adicional la autenticación de doble factor.
