Categories: Seguridad

Los sistemas de autenticación en dos pasos también son vulnerables

Los sistemas de verificación en dos pasos surgieron para blindar las cuentas online de los usuarios, especialmente en servicios especialmente sensibles como pueden ser el correo electrónico, que permite intercambiar datos confidenciales, o las plataformas de ecommerce, que utilizan información bancaria.

Fuente-Shutterstock_Autor-Maksim Kabakou_seguridadDichos sistemas solicitan, además del típico dúo compuesto por nombre de usuario más contraseña de acceso, un segundo elemento identificativo que permita autenticar la identidad de dueño legítimo de la cuenta. Éste elemento suele ser un código numérico enviado al teléfono.

Sin embargo, a veces surgen problemas que permiten torpedear la seguridad de la verificación en dos pasos, como el que está afectando al Security Key de PayPal.

Un equipo de investigación de Duo Security ha descubierto un fallo en “el flujo de autenticación para el servicio web de la API de PayPal”, que afectaría a los programas oficiales y también a los desarrollados por terceros y que, en la práctica permitiría “engañar eficazmente a las aplicaciones móviles de PayPal para que ignoren el indicador 2FA en la cuenta”, según explica la propia compañía en su blog.

Todo esto significa que lo único que necesitarían potenciales ciberdelincuentes para hackear una cuenta de PayPal sería contar con los datos correspondientes a la primera parte de la identificación: el username y el password.

Tras emitir una solución temporal, PayPal ya estaría trabajando en un parche definitivo para corregir este problema. Puedes encontrar más información sobre el caso en este artículo de Silicon News.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

ESET advierte: “La seguridad digital no debería tomarse vacaciones”

Los expertos recuerdan la importancia de eliminar cuentas que ya no se usan y que…

5 horas ago

Zscaler: “La filosofía de Zero Trust es la mejor aproximación para responder a los retos actuales de ciberseguridad.”

En esta entrevista, Pablo Vera explica cómo Zscaler aplica su propia tecnología, impulsa la co-innovación…

6 horas ago

Zero Trust, IA, Iot y criptografía postcuántica para una ciberseguridad avanzada

Zscaler destaca estrategias de ciberseguridad de Zero Trust, avances en IA, conectividad IoT y criptografía…

8 horas ago

El mercado WLAN empresarial mejoró en los meses de enero, febrero y marzo

IDC calcula un crecimiento interanual del 10,6 % durante el primer trimestre de 2025 para…

1 día ago

El gasto en servicios de infraestructura en la nube rozó los 91.000 millones de dólares durante el primer trimestre

AWS, Microsoft Azure y Google Cloud son los principales proveedores, aglutinando un 65 % del…

1 día ago