Sin lugar a dudas es uno de los inicios de sesión más seguros que hoy en día se puede encontrar y sin embargo no está libre de fallos. Un grupo de expertos en seguridad ha conseguido saltarse la autenticación en dos pasos recurriendo a una de las características más común entre muchas aplicaciones: la sincronización entre dispositivos.
Hay que decir que la vulnerabilidad existente en este tipo de inicio de sesión afectaba a una gran cantidad de servicios y de cierto renombre, como pueden ser los del Gigante de Internet o algunas entidades bancarias, aunque esto es solo un pequeño ejemplo de lo que podríamos encontrar en el listado. Teniendo en cuenta la envergadura del problema, los expertos decidieron reportar el problema y esperar a que estos fuesen capaces de solventarlo. Sin embargo, lo que ha chocado a los investigadores es que muchas compañías han confirmado que el fallo de seguridad no era para nada importante.
Podría decirse que la sincronización entre las aplicaciones de diferentes sistemas operativos es el Talón de Aquiles de este sistema de verificación de la identidad. Todo funcionaría de forma más o menos correcta hasta que el ciberdelincuente consiguiese acceder al PC del usuario, donde también estaría instalada o se haría uso de esta aplicación que se sincroniza a su vez con otros dispositivos. Como resultado, tenemos la posibilidad de utilizar iTunes o la Google Play Store para enviar aplicaciones maliciosas a dispositivos iOS y Android respectivamente sin que el usuario pueda hacer nada, y lo más importante, sin la necesidad de una autenticación en dos pasos.
A priori sería necesario un acceso físico, ya que se necesita cierta iteracción con el PC, aunque hay que decir que con la cantidad de malware que existe hoy en día y las funciones que poseen, no es para nada descabellado pensar que con una amenaza de estas características sea más que suficiente. Hay métodos que pueden explotar la autenticación en dos pasos.
En el siguiente vídeo se puede observar esto que acabamos de detallar en mayor profundidad:
La sincronización de los dispositivos debe mejorar para no comprometer la autenticación en dos pasos
La instalación de aplicaciones de forma no controlada es uno de los males existentes hoy en día en todos los sistemas operativos, pero se acentúa si recurrimos a realizar este proceso de forma remota. Por este motivo, expertos en seguridad invitan a las compañías a que se modifique este comportamiento y así lograr que al realizar este proceso el usuario deba validar esta instalación de forma remota, pudiendo evitar de esta forma la llegada de aplicaciones maliciosas al dispositivo, bien sea equipo de sobremesa o dispositivo móvil.