Google notifica a los usuarios de Chromebook para restablecer sus claves de seguridad internas

Chromebook 2FA Vulnerability

La invención de la autenticación de dos factores (2FA) fue necesaria por los defectos inherentes del sistema tradicional de nombre de usuario y contraseña. Los expertos en seguridad han estado abogando por su uso durante años, y debido a los elogios constantes, algunas personas se sienten tentadas a pensar que al habilitar 2FA, han eliminado cualquier posibilidad de adquisición de cuentas. Es por eso que activan 2FA y prestan mucha menos atención a sus contraseñas.

Sin embargo, estos usuarios tienden a olvidar que si falla 2FA, la contraseña humilde es lo único que mantiene sus datos seguros. Y una vulnerabilidad de Chromebook recientemente revelada por Google proporciona aún más pruebas de que 2FA puede fallar. Antes de llegar a los detalles, necesitamos ver cómo funciona el sistema 2FA en cuestión.

Algunas Chromebooks vienen con sistemas 2FA integrados

Como probablemente sepa, 2FA se puede implementar de varias maneras diferentes. Los expertos consideran que los sistemas que giran en torno al estándar U2F son los más seguros porque el segundo factor a menudo se basa en un token de hardware que no puede ser secuestrado en Internet. Además, dentro de él, los algoritmos criptográficos complejos generan claves especiales que brindan mucha más seguridad en comparación con los códigos enviados a través de mensajes de texto o contraseñas temporales.

Hace poco más de un año, Google decidió implementar un sistema 2FA similar en sus Chromebooks. La diferencia fue que eliminó los tokens de hardware adicionales. En cambio, todo lo que necesita hacer para activar el segundo factor es presionar el botón de Encendido en el Chromebook. Inicialmente, el sistema solo estaba disponible en los Pixelbooks de Google, pero después de un tiempo, otros fabricantes comenzaron a usar chips que también lo habilitaban en su hardware. Google llama a la tecnología "Clave de seguridad incorporada", y se mantiene firme en que todavía está en su fase de prueba. Claramente, hay cosas que deben abordarse.

Una falla en la implementación 2FA de Google pone en riesgo las claves de seguridad

En el corazón del vulnerable sistema 2FA hay un algoritmo de firma digital de curva elíptica (ECDSA) que se supone que genera valores secretos aleatorios. Estos valores funcionan junto con las firmas criptográficas registradas en el servicio en línea para generar las claves que proporcionan el segundo factor.

El equipo de seguridad de Google descubrió que debido a una implementación incorrecta de la ECDSA, los valores generados tenían una entropía mucho menor de lo previsto. Esto significaba que un atacante podía adivinar cuáles eran estos valores y, utilizando firmas robadas, calcular la clave más importante, derrotando el segundo factor sin tener acceso al Chromebook de la víctima.

Hay que decir que no todos pueden llevar a cabo tal ataque. En primer lugar, los piratas informáticos deben obtener la firma correcta, que generalmente se transmite a través de HTTPS y es difícil de interceptar. Luego, tendrán que descubrir cómo funciona la generación vulnerable de ECDSA y calcular los valores exactos que eventualmente los llevarán a la clave.

La vulnerabilidad ya ha sido reparada

A pesar de que un ataque no parece muy probable para la mayoría de las personas, Google hizo lo correcto y solucionó la falla de seguridad. Chrome OS versión 75 viene con un parche, y los usuarios de Chromebook (especialmente aquellos que poseen computadoras portátiles que figuran en la sección "Dispositivos afectados" de la divulgación de Google ) deben asegurarse de que esté instalado. Las personas que han usado el sistema vulnerable 2FA también deben prestar atención a las alertas que muestra el sistema operativo y reemplazar sus firmas registradas por otras nuevas.

Una cosa que la gente no debe hacer es desactivar 2FA debido a vulnerabilidades como la descrita anteriormente. Sí, a veces no actúa tan bien como debería, pero incluso la implementación menos segura aún agrega una capa de protección que simplemente no existe sin ella. Sin embargo, no olvide que el primer factor es tan importante como el segundo.

September 17, 2019
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.