Tras la tan esperada actualización de Google Authenticator, la compañía de software Mysk emitió una advertencia para que los usuarios no habiliten la función sobre las preocupaciones de que la función no es segura.
La actualización en cuestión recientemente presentado una opción de sincronización para códigos únicos, que permitiría a los usuarios almacenarlos en sus Cuentas de Google. La idea era ayudar a prevenir una situación en la que un usuario está bloqueado de todas sus cuentas, ya que esos códigos únicos se almacenaron previamente en el dispositivo en el que se instaló la aplicación.
Mysk encontró evidencia de que los usuarios interesados en usar la función pueden necesitar tener en cuenta que el tráfico de red generado por la aplicación Authenticator no está encriptado de extremo a extremo. Una persona con intención maliciosa podría robar el «secreto» o «semilla» que se utiliza para generar su código QR 2FA. Con eso, sus esfuerzos para crear una barrera de seguridad más fuerte serían discutibles.
Google acaba de actualizar su aplicación 2FA Authenticator y agregó una característica muy necesaria: la capacidad de sincronizar secretos entre dispositivos.TL; DR: No lo encienda. La nueva actualización permite a los usuarios iniciar sesión con su cuenta de Google y sincronizar secretos de 2FA en sus dispositivos iOS y Android
Además, Mysk menciona que los códigos QR 2FA tienen la capacidad de contener otra información sobre usted, como el nombre de su cuenta y el nombre del servicio para el que está el código. La especulación sugiere que Google podría usar esta información para bombardearlo con anuncios personalizados a lo largo de sus servicios, pero esto podría significar un peligro para los usuarios. Mysk afirma que, si Google sufriera una violación de datos, su información volaría directamente hacia ellos.
En respuesta, Christiaan Brand, gerente de producto de Google, explicó la falta de E2EE del autenticador en un Tweet el jueves. Si bien la aplicación no ofrece la protección de seguridad que los usuarios agradecerían, hay planes para ofrecer cifrado más adelante en el futuro. Afirma que Google cifra sus datos de todas sus aplicaciones, incluido Authenticator, cuando está «en tránsito y en reposo.»
«En este momento, creemos que nuestro producto actual logra el equilibrio adecuado para la mayoría de los usuarios y proporciona beneficios significativos sobre el uso fuera de línea», continúa Brand. Además, la inclusión de cifrado más fuerte como E2E podría resurgir la posibilidad de que los usuarios se bloqueen de sus cuentas.
Sin embargo, como mencionado anteriormente y reiterada por Brand, la sincronización de cuentas de Google Authenticator es completamente opcional. Si los usuarios se sienten más seguros al usar la aplicación en un estado fuera de línea, con control sobre cómo respaldan su información, eso todavía está disponible para ellos.