PayPal desactiva la clave de seguridad por ser un riesgo para el usuario


paypal-two-factor-authentication-vulnerability-revealed

Según los investigadores de Duo Security, expertos en doble verificación para grandes marcas, PayPal ha intentado parar el hackeo de cuentas mediante una serie de mecanismo totalmente inútiles.

Mientras que los atacantes necesitaban el nombre de usuario y la contraseña para comprometer la cuenta de usuario, la empresa intentó implementar la verificación en dos pasos o autenticación en dos factores (conocida como 2FA) pero este mecanismo da los usuarios un código una sola vez para acceder tras escribir su nombre de usuario y contraseña.

Para los que desconozcan el método, hay dos tipos de clave de seguridad:

  • Clave de seguridad: Se trata de un pequeño dispositivo, del tamaño de una tarjeta de crédito, que puede llevar encima. Crea un código de seguridad único que utilizará para iniciar sesión en su cuenta.
    • Inicie sesión en PayPal como de costumbre. Tras introducir el nombre de usuario y la contraseña, se le pedirá que introduzca un código de seguridad.
    • Presione en el botón de la clave de seguridad para obtener un nuevo código.
    • Introduzca el código para finalizar el inicio de sesión.
  • Clave de seguridad para teléfono móvil: Puede obtener códigos de seguridad temporales en el teléfono móvil por mensajes de texto (también denominados SMS).
    • Inicie sesión en PayPal como de costumbre. Tras iniciar sesión, verá un el botón Enviar SMS en la página siguiente.
    • Haga clic en Enviar SMS y espere para recibir el mensaje de texto con el código en el teléfono móvil.
    • Introduzca el código para finalizar el inicio de sesión.

Este es una desafortunada verificación de dos factores, ya que los daños son superiores a los beneficios que ofrecía,” dijo Zach Lanier, investigador senior de Duo.

Tras analizar cómo la aplicación conectada con los servidores de PayPal, Lanier descubrió que los problemas subyacentes eran más graves de lo que había sospechado. Descubrió que era muy fácil engañar a PayPal y hacerle creer que el usuario se había autenticado. Él incluso replica el ataque escribiendo un pequeño programa, en lenguaje Python, que imitaba  los procesos de la aplicación móvil.

Ese programa aprovecha la vulnerabilidad al decirle a la API de PayPal que la autenticación de dos factores no está operativa a pesar de que la “víctima” (en realidad, el propio Lanier) si que lo tenia activado. En este punto la API manda el “token de inicio de sesión” confirmando que el usuario se ha identificado mediante el método de dos factores.

Esta vulnerabilidad podría haber estado desde el inicio del lanzamiento de la primera app de PayPal en 2008, pero la empresa no ha hecho declaraciones a este respecto, aunque si ha afirmado que “todas las cuentas de PayPal permanecen seguras” y que “como medida de precaución, hemos deshabilitado la capacidad de los clientes que han seleccionado 2FA para iniciar sesión en su cuenta PayPal en la aplicación móvil de PayPal y en algunas otras aplicaciones móviles hasta que se implemente una solución a esta sistema de identificación“, dijo un portavoz de PayPal.

Anuncios

About Carmen Rodriguez

Inquieta, introvertida, cinéfila hasta la extenuación y motera ... se leer, escribir y hablar en al menos un idioma, aunque cometo algunos fallos, que espero sean perdonados. Me gusta escuchar, argumentar y sobretodo observar.

Trackbacks/Pingbacks

  1. Bitacoras.com - 22/09/2014

    Información Bitacoras.com

    Valora en Bitacoras.com: Según los investigadores de Duo Security, expertos en doble verificación para grandes marcas, PayPal ha intentado parar el hackeo de cuentas mediante una serie de mecanismo totalmente inútiles. Mientras que los atacantes n…

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: