Google ha publicado una actualización de su aplicación Authenticator que mantiene un «código de un solo uso» en el almacenamiento en la nube. Esta actualización es parte del esfuerzo de la compañía para ayudar a los clientes a mantener el acceso a sus sistemas de autenticación de dos factores (2FA). Los usuarios que hayan extraviado su dispositivo que contenía su autenticador aún pueden acceder a su autenticación de dos factores usando este código. Se dice que el almacenamiento de códigos de un solo uso en la cuenta de Google de un usuario, según lo recomendado por Google, mejora tanto la comodidad como la seguridad y evita que los usuarios queden bloqueados en sus cuentas. Sin embargo, este enfoque está causando que otras personas se preocupen por su seguridad.
En una publicación realizada en el foro r/Cryptocurrency, el usuario u/pojut señaló que mantener los códigos de un solo uso en el almacenamiento en la nube conectado con la cuenta de Google del usuario podría hacer que los usuarios sean más susceptibles a los ataques de los ciberdelincuentes. Si un pirata informático obtuviera la contraseña de Google del usuario, podría obtener acceso completo a todas las aplicaciones vinculadas al autenticador del usuario. El usuario u/pojut recomendó un teléfono obsoleto que se utiliza solo con el propósito de albergar la aplicación de autenticación como solución a este problema.
Los desarrolladores del application de ciberseguridad llamado Mysk también recurrieron a Twitter para advertir sobre los problemas adicionales que surgen con el uso del enfoque basado en el almacenamiento en la nube de Google para la autenticación de dos factores (2FA). Los usuarios que usan Google Authenticator como un segundo component de autenticación para iniciar sesión en sus cuentas de intercambio de criptomonedas y otros servicios relacionados con las finanzas pueden encontrar que esto es un motivo importante de preocupación. El sistema de autenticación de dos factores (2FA) es susceptible a una variedad de ataques, el más frecuente de los cuales se conoce como «intercambio de SIM». Este tipo de robo de identidad permite a los estafadores tomar el command de un número de teléfono al engañar a un operador de telecomunicaciones para que asocie el número con su propia tarjeta SIM.
Un ejemplo reciente de esto se puede ver en una demanda que se presentó recientemente contra el intercambio de criptomonedas Coinbase, que se encuentra en los Estados Unidos. En el caso, un cliente afirmó que había perdido «el 90% de los ahorros de su vida» como resultado de ser víctima de tal agresión. En individual, Coinbase recomienda usar aplicaciones de autenticación para la autenticación de dos factores en lugar de enviar un código de verificación por mensaje de texto. La compañía llama a la autenticación de dos factores por SMS el tipo de autenticación «menos seguro».
Una actualización a Google Authenticator puede beneficiar a los usuarios que han extraviado su aplicación de autenticación, pero ha causado que algunos usuarios se preocupen por el nivel de seguridad del servicio. El uso del almacenamiento en la nube para almacenar códigos de un solo uso deja a los usuarios expuestos a ataques de ciberdelincuentes, quienes luego pueden descubrir la contraseña de Google del usuario y, como resultado, adquirir acceso completo a todas las aplicaciones vinculadas al autenticador utilizadas por el usuario. Los usuarios que usan Google Authenticator para la autenticación de dos factores deben tomar precauciones para protegerse, como instalar su aplicación de autenticación en un dispositivo diferente y evitar la autenticación de dos factores a través de SMS.