Google actualiza su aplicación Authenticator 2FA y agrega una función muy necesaria: la capacidad de sincronizar secretos en varios dispositivos. Pero los expertos en seguridad advierten que esto es una mala noticia para la privacidad.
Esta actualización permite a los usuarios iniciar sesión con su cuenta de Google y sincronizar secretos 2FA en sus dispositivos iOS y Android. Sin embargo, el tráfico de red cuando la aplicación sincroniza los secretos no está cifrado de extremo a extremo. Esto significa que Google puede ver los secretos, probablemente incluso mientras están almacenados en sus servidores. Además, no hay opción para agregar una contraseña para proteger los secretos y hacerlos accesibles solo por el usuario.
Los códigos QR de 2FA contienen un secreto, o semilla, que se utiliza para generar los códigos de una sola vez. Si alguien más conoce el secreto, puede generar los mismos códigos de una sola vez y vencer las protecciones de 2FA. Entonces, si hay alguna violación de datos o si alguien obtiene acceso a su cuenta de Google, todos sus secretos de 2FA estarían comprometidos.
Todos los códigos QR de 2FA suelen contener otros datos, como el nombre de la cuenta y el nombre del servicio (por ejemplo, Twitter, Amazon, etc.). Como Google puede ver todos estos datos, sabe qué servicios en línea usa y potencialmente podría usar esta información para publicidad personalizada.
Aunque la sincronización de secretos 2FA en varios dispositivos es conveniente, viene a expensas de la privacidad. Afortunadamente, Google Authenticator todavía ofrece la opción de usar la aplicación sin iniciar sesión ni sincronizar secretos. Se recomienda usar la aplicación sin la nueva función de sincronización por el momento.
Editor y diseñador de Techno Ahora.