Google planea agregar cifrado de extremo a extremo a la herramienta Authenticator

Google Authenticator obtiene cifrado de extremo a extremo, finalmente. Después de que los investigadores de seguridad criticaron a la compañía por no incluirla con la actualización de sincronización de la cuenta del Autenticador, el gerente de producto de Google, Christiaan Brand Respondió en Twitter diciendo que la compañía tiene «planes para introducir E2EE» en el futuro.

«Por el momento, creemos que nuestro producto existente logra el equilibrio adecuado para la mayoría de los usuarios y brinda beneficios significativos sobre el uso fuera de línea», escribió Brand. «Sin embargo, la opción de usar la aplicación sin conexión seguirá siendo una alternativa para aquellos que prefieren administrar su propia estrategia de respaldo».

A principios de esta semana, Google Authenticator finalmente comenzó a ofrecer a los usuarios la opción de sincronizar códigos de autenticación de dos factores con sus cuentas de Google, lo que facilita mucho el inicio de sesión en cuentas en nuevos dispositivos.

Si bien este es un cambio bienvenido, también plantea algunos problemas de seguridad, ya que, como resultado, los piratas informáticos que irrumpen en la cuenta de Google de alguien podrían obtener acceso a una gran cantidad de otras cuentas. Si la función es compatible con E2EE, los piratas informáticos y otros terceros, incluido Google, no podrán ver esta información.

Los investigadores de seguridad Misk han destacado algunos de estos riesgos. En una publicación en Twitter, afirmando que «en caso de una violación de datos o si alguien obtiene acceso a su cuenta de Google, todos sus secretos de autenticación de dos factores se verán comprometidos». Agregaron que Google puede usar la información asociada con sus cuentas para publicar anuncios personalizados y también aconsejaron a los usuarios que no usen la función de sincronización hasta que E2EE sea compatible.

La marca desestimó las críticas y dijo que, si bien Google cifra «los datos en tránsito y en reposo, en todos nuestros productos, incluido Google Authenticator», E2EE tiene «el costo de permitir que los usuarios tengan sus propios datos sin recuperación». Sin embargo, todavía no hay una línea de tiempo sobre cuándo Google realmente traerá E2EE a la nueva función de sincronización de cuenta de Authenticator, dejando a los usuarios con la opción de usar la función sin E2EE o continuar usando Google Authenticator sin conexión.