Nuestros compañeros del blog WeLiveSecurity de ESET prepararon este interesante post tras conocerse un fallo en el sistema de doble autenticación de PayPal. A continuación presentamos una traducción y adaptación de dicho post.
Un fallo en el sistema de doble factor de autenticación (2FA) de PayPal podría permitir a un atacante conseguir el acceso a 143 millones de cuentas de PayPal, según la información publicada por The Register que analiza los resultados a los que llegaron los investigadores de Duo Security, una empresa de seguridad de Michigan especializada en este tipo de autenticación.
El gigante de los sistemas de pago online se ha apresurado a asegurar a sus usuarios que sus datos no han sido comprometidos, según han anunciado en su web.
¿Es realmente seguro el doble factor de autenticación de PayPal?
La vulnerabilidad afectaba a los usuarios que se registraban en PayPal a través de una aplicación en su dispositivo Android o iOS, según un informe del Financial Times, necesitando los atacantes conocer además el nombre de usuario y contraseña de la víctima. El usuario también tendría que tener activado el sistema opcional de 2FA e intentar registrarse utilizando las aplicaciones móviles, que no soportan 2FA.
“Es una característica de seguridad diseñada para reducir el riesgo en caso de que viéramos comprometida la seguridad de nuestra contraseña por cualquier motivo. No obstante, no cumple totalmente este objetivo, ya que no es especialmente segura”, comenta Zach Lanier de Duo Security, quien destacaba que los usuarios de PayPal estaban siendo atacados cada vez más por casos de phishing.
“¿Por qué robas a un banco?”
“Actualmente funcionan como un banco con fondos almacenados dentro de PayPal que puedes usar para enviar dinero a alguien directamente desde una cuenta bancaria”, comenta Lanier. “¿Por qué robas a un banco? Porqué allí es donde se encuentra el dinero.”
The Register informa de que las aplicaciones pueden ser engañadas para ignorar la protección 2FA en las cuentas de los usuarios. Normalmente, las aplicaciones tan solo prevendrían que los usuarios se registrasen, pero la prueba de concepto escrita en Python de Lanier permitiría a un atacante hipotético saltarse esta protección. Sin embargo, no tenemos constancia de que esto haya pasado en un entorno real.
“Un atacante solo necesita el nombre de usuario y contraseña de PayPal de un usuario para poder acceder a una cuenta protegida por doble factor de autenticación y enviar dinero”, comenta Lanier. “La protección ofrecida por el mecanismo de doble factor de Security Key puede ser sobrepasado y anularlo por completo”.
Desactivado el doble factor de autenticación de PayPal
PayPal ha recordado que este fallo solo afecta a aquellos usuarios que han elegido utilizar el (opcional) sistema 2FA y que han intentado registrarse usando las aplicaciones para iPhone o Android (ninguna de las cuales soporta 2FA). Desde entonces, PayPal ha desactivado la posibilidad de acceder a la cuenta usando las aplicaciones móviles, pensando en distribuir un parche que solucione este fallo más adelante.
“Si has decidido añadir el 2FA a tu cuenta de PayPal, tu cuenta sigue siendo segura y el 2FA continuará utilizándose de forma habitual en la mayoría de experiencias de Producto PayPal,” comentaron responsables de PayPal desde su blog oficial. “ A pesar de que 2FA es una capa adicional de autenticación, PayPal no depende únicamente de 2FA para mantener seguras sus cuentas. Disponemos de extensos modelos de detección de riesgos y fraude y de equipos de seguridad dedicados que trabajan para ayudar a mantener seguras las cuentas de nuestros usuarios y evitar transacciones fraudulentas todos los días”.