A principios de semana hemos asistido a la tan ansiada llegada de la función de permite la sincronización de Google Authenticator con las cuentas de Google, que facilita que los usuarios de Google Authenticator sigan accediendo a terceros servicios incluso si por algún motivo ya no pueden usar sus actuales móviles.
Durante muchos años, aquellos que por algún motivo ya no tenían acceso a sus móviles con Google Authenticator se las han visto y deseado para seguir accediendo a los terceros servicios que tenían configurado la autenticación en dos factores mediante el uso de Authenticator.
Temen posible acceso de Google o de atacantes de las cuentas a los códigos
Se corrige un histórico problema pero llega otro, como ven los expertos de seguridad. Y es que ante la falta de cifrado de extremo a extremo, en caso de que una cuenta de Google llegue a ser vulnerada, los actores maliciosos también podrían hacerse con los códigos de acceso a las cuentas de usuario en terceros servicios que se tengan configurados.
Entre los expertos se encuentran los investigadores de la firma de seguridad Mysk, que además de exponer la mencionada situación en su cuenta de Twitter, también temen la posibilidad de que Google pueda tomar la información para sus anuncios personalizados, animando a los usuarios a no usar la sincronización en Google Authenticator hasta que no llegue el cifrado de extremo a extremo.
¿Y cuándo llegará? Christiaan Brand, gerente de producto de Google, llegó a señalar, también en Twitter, que la compañía cuenta con planes para la implementación del cifrado de extremo a extremo en Google Authenticator en un futuro (sin especificar), si bien aclara también que:
Ciframos los datos en tránsito y en reposo en todos nuestros productos, incluso en Google Authenticator. E2EE es una característica poderosa que brinda protecciones adicionales, pero a costa de permitir que los usuarios queden bloqueados y no puedan recuperar sus propios datos.
El cifrado de extremo a extremo se irá desplegando antes en otros productos y de manera opcional y, según sus palabras, Google Authenticator ahora sí que tiene el equilibrio adecuado para la mayoría de usuarios y «brinda beneficios significativos sobre el uso fuera de línea.»
La discusión continúa abierta
Sus declaraciones no están dejando indiferentes a muchos de los comentaristas de Twitter, que esperaban más de Google al respecto y criticando incluso que Authenticator para iOS tenga mejores protecciones en relación a Authenticator para Android.
Lo que queda claro es que Google tendrá que escuchar a los usuarios, tanto a los comunes como a los profesionales de seguridad, para ofrecer una solución que pueda satisfacer a todos, a los usuarios comunes la facilidad de uso y a los expertos las protecciones necesarias para que ni Google ni los atacantes que consigan hacerse con las cuentas de Google puedan tener acceso a los códigos que perjudique el acceso a las cuentas de los usuarios en terceros servicios.