Este fallo afecta a la famosa llave de seguridad YubiKey y pone en riesgo todas tus cuentas
Para poder iniciar sesión en cualquier cuenta en Internet, lo habitual es usar una simple contraseña. Sin embargo, existen otros métodos de acceso. Puedes utilizar huellas dactilares, patrones de pantalla o incluso llaves de seguridad. Sin embargo, en este artículo nos hacemos eco de un hecho negativo que afecta a la popular llave de seguridad YubiKey. Te vamos a explicar en qué consiste y de qué manera te puede afectar.
Este fallo permite que un atacante pueda clonar estas llaves YubiKey y tener acceso a las cuentas de las víctimas. Ten en cuenta que el objetivo de estas llaves es almacenar ahí las credenciales para poder iniciar sesión en plataformas muy diversas, como pueden ser redes sociales, el correo electrónico, cuentas bancarias…
Fallo de seguridad en llaves YubiKey
Se trata de una vulnerabilidad que afecta a la serie YubiKey 5, que es muy utilizada. Esto pone en riesgo los tokens de hardware FIDO. Este fallo ha sido denominado como EUCLEAK y permite que los atacantes puedan clonar dispositivos de este tipo y, de esta forma, robar las claves privadas que almacena. Es un problema que puede llegar a ser importante.
Concretamente, este problema afecta a dispositivos desarrollados con microcontroladores Infineon SLE78. Son los de la serie YubiKey 5, que hemos mencionado. Afecta a las versiones de firmware hasta la 5.7, por lo que son muchos los usuarios que pueden verse perjudicados por este fallo importante.
Pero algo que llama la atención, es que se trata de una vulnerabilidad que tiene 14 años. En todo este tiempo, nadie ha detectado el problema, pese a que ha pasado por muchos procesos de certificaciones y análisis de seguridad, algo evidente cuando hablamos de un dispositivo como este YubiKey. No obstante, no es la primera vez que vemos un fallo así, con muchos años, y que pueden comprometer el buen funcionamiento de programas o la seguridad de las cuentas.
¿De qué manera podrían comprometer la seguridad? Los investigadores indican que están en riesgo algunos componentes tan variados como pasaportes electrónicos, sistemas de vehículos inteligentes, domótica del hogar o billeteras de criptomonedas. Si un atacante explota este fallo, podría generar una copia de esa llave, por lo que quedarían totalmente expuestos ante ataques Phishing.
Siempre es importante una protección extra
Aunque hayamos hablado de una vulnerabilidad de este tipo, no significa que las llaves como esta sean inseguras. De hecho, incluso utilizando una vulnerable, como este modelo, es mejor que no tener nada. Su misión es actuar como una segunda barrera de seguridad. Una manera de verificar que somos el usuario legítimo, más allá de poner simplemente la clave de acceso.
Si alguien robara tu contraseña de Facebook, por ejemplo, podría entrar fácilmente si no tienes habilitada la autenticación en dos pasos. Si utilizas una llave de seguridad de este tipo, vas a tener que utilizarla para acceder a la cuenta. Por tanto, es una protección extra que siempre viene muy bien.
En caso de que un atacante haya clonado las llaves YubiKey, necesitaría igualmente la contraseña para poder entrar en esas cuentas sin tu permiso. Esto lo pueden lograr a través de un ataque Phishing exitoso, mediante un keylogger, etc. Si tienes doble protección, mejor para evitar problemas de este tipo y tener tus cuentas con la máxima seguridad posible.
Una buena idea, de cara a proteger más tus claves de acceso, es utilizar un gestor de contraseñas. Esto te permitirá crear claves realmente complejas, sin necesidad de tener que memorizarlas. Puedes generarlas totalmente aleatorias y muy largas, además de poder cambiarlas de vez en cuando. Para acceder a ellas, vas a utilizar una clave maestra para entrar en ese programa. Hay muchas opciones, pero te recomendamos siempre utilizar aplicaciones de garantías. Por ejemplo, algunas que podemos recomendar son LastPass, NordPass o 1Password. Los puedes utilizar en el ordenador, móvil o incluso en versión para el navegador.
En definitiva, las llaves YubiKey tienen un problema de seguridad y son vulnerables a posibles ataques. Es importante que tomes medidas de protección adicionales, como es tener contraseñas fuertes, cambiarlas de vez en cuando y no caer en la trampa del Phishing. Asegúrate siempre de tener una doble protección y así, en caso de que haya algún problema, siempre estés cubierto por un paso más.