Siempre recomendamos hacer uso de las últimas medidas de seguridad a la hora de proteger nuestras cuentas. Por ejemplo, es vital usar contraseñas largas y seguras en nuestros servicios online, y también que estas sean únicas y no las reutilicemos en otras webs para contener lo mejor posible un ataque informático. Además, siempre que esté disponible, recomendamos usar una doble autenticación que nos garantice que, aunque roben las contraseñas, no puedan acceder a nuestros datos. Pero, ¿qué pasa si quien nos pone en peligro es la propia empresa que guarda estas claves de seguridad? Esto es lo que le ha pasado a Authy.
Aunque la doble autenticación es vital para preservar nuestra seguridad, la aplicación más usada para generar claves, Google Authenticator, deja mucho que desear. Por ello, muchos usuarios han confiado en Authy para tener sus claves de seguridad protegidas y, además, poder tenerlas a mano en todo tipo de dispositivos (móviles, tablets, PC, etc).
Sin embargo, aunque nosotros usemos las últimas medidas de seguridad, de nada sirven si la empresa responsable de controlar estas medidas de seguridad no las protege adecuadamente. Y esto es lo que ha pasado con Twilio, responsable de Authy.
Un ataque de phishing pone en jaque nuestra seguridad
Tal como ha confirmado la compañía, un grupo de piratas informáticos ha llevado a cabo una campaña de phishing contra varios empleados de esta compañía, con sede en Estados Unidos, hasta que, finalmente, ha conseguido comprometer la seguridad de toda su infraestructura. En este phishing, los atacantes se hacían pasar por el departamento de IT de Twilio, pidiendo a los trabajadores que restablezcan sus contraseñas para poder seguir teniendo acceso a la intranet. Ni que decir tiene que el enlace facilitado a través del SMS era falso.
De momento, la compañía está investigando hasta dónde han podido acceder los piratas informáticos y qué información ha sido robada. Como parte de su plan de transparencia, Twilio avisará a los usuarios afectados tan pronto como se confirme que sus datos han sido robados. Eso sí, de momento no se sabe qué ha pasado con Authy, ya que la empresa se ha negado a hacer declaraciones al respecto.
¿Pueden entrar en mis webs con las claves de Authy?
Aunque Twilio ofrece muchos otros servicios, el que realmente preocupa a los usuarios es el de Authy. Si los piratas informáticos han conseguido robar las claves privadas y las marcas de tiempo, podrían generar literalmente cualquier código de doble autenticación para entrar en cualquier web. Sin embargo, esto es poco probable.
Debido a que Authy no usa el típico login de usuario/contraseña, sino que utiliza un móvil como identificador de los usuarios, es muy complicado que, en el caso de que hayan robado las claves, estas puedan asociarse a un usuario concreto. Salvo, por supuesto, que tengan el número de móvil en su poder robado de otra web. Además, debemos tener en cuenta que, al usar el PIN, los datos se cifran siempre de extremo a extremo, por lo que, en el peor de los casos, si tienen nuestro móvil y saben quiénes somos, sin el PIN no podrán descifrar los datos.
Si no nos fiamos, y queremos blindar nuestra seguridad, simplemente debemos revocar todas las claves 2FA generadas y volver a vincularlas. Así, todos los supuestos datos robados por los piratas no servirán de nada.