A pesar de que la actualización busca resolver un problema, abre la posibilidad de que cualquiera pueda ver nuestras claves y anular la verificación en dos pasos.
Después de varios años sin grandes cambios, Google Authenticator llevó a cabo una actualización que permite la sincronización de códigos en la nube. De acuerdo Hipertextual, esta función resuelve uno de los grandes inconvenientes de la herramienta, y la implementación no responde de manera correcta en términos de seguridad.
La herramienta presenta la falta un cifrado de extremo a extremo (E2E), lo cual dejaría vulnerables las claves de un solo uso, sin embargo, Google confirmó que trabajan en añadir esta importante actualización.
Por su parte, el gerente de producto de Google, Christiaan Band, indicó por medio de su cuenta de Twitter que trabajarán en los riesgos de seguridad de Google Authenticator. Band comentó que el objetivo es brindar características que protejan a los usuarios, pero que al mismo tiempo sean convenientes y útiles.
"Ciframos los datos en tránsito y en reposo en todos nuestros productos, incluso en Google Authenticator", resaltó Band.
Le puede interesar: El CEO de Google advirtió sobre el impacto social de la IA: "No corresponde a una empresa decidir"
Según Band, el cifrado E2E es una característica importante que ofrece protección adicional, pero esto también permite que los usuarios queden bloqueados sin poder recuperar sus datos. Esto es similar a lo que ocurría en la versión anterior de la herramienta, en donde las claves se perdían si la persona no lograba acceder al dispositivo donde se encontraba la app.
A pesar de que Band asegura que la nueva versión Google Authenticator tiene el equilibrio adecuado para la mayoría de usuarios, existen planes para reforzar la seguridad agregando el cifrado de extremo a extremo. “Para asegurarnos de ofrecer a los usuarios un conjunto completo de opciones, comenzamos a implementar el cifrado E2E opcional en algunos de nuestros productos y tenemos planes de ofrecer E2EE para Google Authenticator en el futuro”, indicó.
Es importante mencionar que los usuarios que no deseen sincronizar Google Authenticator en la nube podrán continuar utilizando la aplicación offline, en la cual los códigos de un solo uso son almacenados de manera local en el dispositivo.