La popular empresa de pagos online PayPal, ha solucionado un grave fallo de seguridad que permitiría a un atacante saltarse su autenticación en dos factores. Esta vulnerabilidad a la hora de gestionar la autenticación en dos factores ya ha sido solucionada, os vamos a contar todos los detalles y cómo un atacante podría utilizarlo. Os recomendamos visitar nuestro tutorial sobre para qué sirve la autenticación SSO en Windows 10.
Cómo configurar la autenticación en dos factores en PayPal
Para activar la autenticación en dos factores de PayPal, lo primero que tenemos que hacer es iniciar sesión con nuestros credenciales. A continuación, debemos pinchar sobre «Opciones» que se encuentra en la parte superior derecha de la web.
Una vez dentro de la configuración de tu cuenta de PayPal, accedemos a la sección «Centro de Seguridad» y pinchamos en «Clave de seguridad«. Al pinchar nos llevará directamente a un nuevo menú donde podremos dar de alta un número de teléfono para usarlo como autenticación en dos factores.
El menú de configuración del teléfono tiene la interfaz gráfica antigua de PayPal, deberemos dar de alta el número nuevo pinchando en «Obtener clave de seguridad», introducimos el número de teléfono siguiendo el asistente. Por último, debemos pinchar sobre el móvil y pulsar sobre «Activar».
De esta forma ya tendremos la autenticación en dos factores por SMS activada en PayPal.
Cómo se podía saltar la autenticación en dos factores de PayPal
Cuando activamos la autenticación en dos factores, para iniciar sesión es necesario introducir nuestros credenciales y a continuación, nos enviarán un mensaje de texto al número de móvil configurado anteriormente. Si no tenemos nuestro móvil con nosotros, o si no tenemos cobertura, podremos identificarnos contestando las preguntas de seguridad previamente configuradas, sin embargo, si modificamos una parte de la cabecera de la petición podríamos decirle a PayPal que «acepte» sin introducir nada.
Si en la siguiente cabecera eliminamos securityQuestion0 y securityQuestion1 podremos saltarnos la autenticación en dos factores, ya que PayPal no comprobará nada más y habremos accedido sin problemas a nuestra cuenta.
Os recomendamos visitar este blog donde encontraréis la información sobre este fallo de seguridad, ya fue reportado a PayPal y solucionado.
¿Cómo podría un usuario ilegítimo iniciar sesión en nuestra cuenta?
Cualquier usuario ilegítimo que conozca nuestra contraseña podría iniciar sesión sin necesidad de tener en su poder nuestro terminal móvil, y sin saber las respuestas de seguridad. En el caso de que el atacante esté en nuestra red local es más grave el asunto, podría capturar nuestros credenciales para posteriormente usarlo sin necesidad de autenticación adicional.
No obstante, esto ya ha sido solucionado por lo que si conoce nuestros credenciales o los ha capturado anteriormente, la autenticación en dos factores evitará los inicios de sesión ilegítimos.