Google ha lanzado una actualización de su popular aplicación de autenticación que almacena un «código de un solo uso» en el almacenamiento en la nube, lo que permite a los usuarios que perdieron su dispositivo con el autenticador conservar el acceso a la autenticación de dos factores (2FA).

En un blog del 24 de abril publicar Al anunciar la actualización, Google dijo que los códigos únicos se almacenarán en la cuenta de Google del usuario, alegando que los usuarios estarían «más protegidos contra el bloqueo» y aumentarían la «conveniencia y la seguridad».

En un Reddit del 26 de abril publicar En el foro r/Cryptocurrency, Redditor u/pojut escribió que si bien la actualización ayuda a aquellos que pierden su dispositivo con su aplicación de autenticación, también los hace más vulnerables a los piratas informáticos.

Al asegurarlo en el almacenamiento en la nube asociado con la cuenta de Google del usuario, significa que cualquier persona que pueda obtener acceso a la contraseña de Google del usuario obtendrá posteriormente acceso completo a sus aplicaciones vinculadas al autenticador.

El usuario sugirió que una posible forma de evitar el problema de SMS 2FA es usar un teléfono antiguo utilizado únicamente para alojar su aplicación de autenticación.

“También sugiero enfáticamente que, si es posible, tenga un dispositivo separado (tal vez un teléfono viejo o una tableta vieja) cuyo único propósito en la vida sea usarlo para la aplicación de autenticación de su elección. No guardes nada más en él y no lo uses para nada más”.

Asimismo, los desarrolladores de ciberseguridad misk llevo a gorjeo para advertir sobre complicaciones adicionales que vienen con la solución basada en almacenamiento en la nube de Google para 2FA.

Esto puede ser una preocupación importante para los usuarios que usan Google Authenticator para 2FA para iniciar sesión en sus cuentas de intercambio de criptomonedas y otros servicios relacionados con las finanzas.

Otros problemas de seguridad de 2FA

El hack 2FA más común es un tipo de fraude de identidad conocido como «intercambio de SIM», que es donde los estafadores obtienen el control de un número de teléfono engañando al proveedor de telecomunicaciones para que vincule el número a su propia tarjeta SIM.

Un ejemplo reciente de esto se puede ver en una demanda presentada contra el intercambio de criptomonedas con sede en EE. UU. Coinbase, donde un cliente afirmó haber perdido «el 90% de los ahorros de su vida» después de ser víctima de tal ataque.

En particular, Coinbase fomenta el uso de aplicaciones de autenticación para 2FA en lugar de SMS, describiendo SMS 2FA como la forma de autenticación «menos segura».

Relacionado: La OFAC sanciona a los comerciantes de venta libre que convirtieron criptomonedas para el grupo Lazarus de Corea del Norte

En Reddit, los usuarios discutieron el proceso e incluso propusieron prohibir SMS 2FA, aunque un usuario de Reddit señaló que actualmente es la única opción de autenticación disponible para varios servicios relacionados con fintech y criptomonedas:

“Desafortunadamente, muchos servicios que uso aún no ofrecen 2FA Authenticator. Pero definitivamente creo que el enfoque de SMS ha demostrado ser inseguro y debería prohibirse”.

La firma de seguridad de blockchain CertiK advirtió sobre los peligros de usar SMS 2FA, y su experto en seguridad Jesse Leclere le dijo a Cointelegraph que «SMS 2FA es mejor que nada, pero es la forma más vulnerable de 2FA actualmente en uso».

Revista: 4 de cada 10 ventas de NFT son falsas: aprenda a detectar las señales comerciales de lavado