Convierte tu móvil Android en un token de seguridad anti-phishing

ActualidadAndroidcontraseñas
jeton de securite

Google acaba de anunciar una nueva función de seguridad que permite a los usuarios de Android 7 o posterior utilizar sus teléfonos para autentificarse en sus cuentas de Google.

Esta noticia quedó eclipsada entre todas las mejoras orientadas a las empresas reveladas el miércoles pasado en Google Cloud Next 2019 en San Francisco.

Publicada como beta, esta funcionalidad está diseñada para proteger a los usuarios de Google de ataques de phishing. Una vez activada, el usuario se conecta a su cuenta Google utilizando su nombre de usuario y contraseña como siempre y a continuación tiene que hacer clic en un enlace en su móvil, previamente registrado, para completar el proceso.

Se trata del mismo principio que utiliza un token USB FIDO llamado YubiKey (o la llave Titan de Google que lanzó el año pasado), excepto por que el propio móvil se convierte en el token.

De esta forma se vence al phishing como si se tratara de un token ya que no es suficiente que un atacante conozca el nombre de usuario y la contraseña de un usuario para poder entrar en su cuenta, sino que también es necesario tener acceso físico a su móvil.

 Requisitos

Para usar tu móvil Android (parece que las tablets aún no son compatibles) como un token de seguridad, debes  utilizar Android 7.x o posterior y necesitas activar el Bluetooth.

Tu ordenador también debe tener Bluetooth y utilizar la última versión de Chrome, en un ordenador Chrome OS, macOS X o Windows.

¿Cómo activarlo?

Según el centro de asistencia de Google:

Paso 1: Añade la llave de seguridad a tu cuenta de Google

  1. Activa la verificación en dos pasos y añade un método de verificación, como los mensajes de Google. Si ya utilizas la verificación en dos pasos, puedes saltarte este punto.
  2. En tu teléfono Android, accede a myaccount.google.com/security.
  3. En “Iniciar sesión en Google”, toca Verificación en dos pasos. Es posible que tengas que iniciar sesión.
  4. Desplázate hacia abajo, hasta “Configurar un segundo paso alternativo”.
  5. Selecciona Añadir llave de seguridad y luego Tu teléfono Android y luego Activar.

Paso 2: Utiliza la llave de seguridad integrada de tu teléfono Android

  1. Asegúrate de que el Bluetooth esté activado en la configuración o en las preferencias de tu ordenador.
  2. Desde tu ordenador, inicia sesión en tu cuenta de Google con tu nombre de usuario y tu contraseña.
  3. Busca una notificación en tu teléfono Android.
  4. En tu teléfono Android, toca dos veces la notificación “¿Estás intentando iniciar sesión?”.

¿Cómo funciona?

Google ofrece unos pocos detalles técnicos en esta entrada de blog, pero podemos asumir que sigue los protocolos FIDO2 que recientemente añadió a Android, y el más amplio estándar de autentificación WebAuthn.

Resumiendo, los navegadores que soporten WebAuthn se comunican de forma segura con el servidor, en este caso, Google, verificando su autenticidad. El protocolo FIDO2, mientras tanto, gestiona la parte donde el ordenador y el móvil se comunican para verificar que el usuario tiene presente el móvil.

La segunda parte funciona empleando el Client to Authenticator Protocol (CTAP) de FIDO2, que realiza la autenticación con el móvil vía Bluetooth.

Un informe sobre el evento también menciona algo llamado “cloud-assisted Bluetooth Low Energy (caBLE)”. No está claro lo que es, pero puede que sea la próxima aportación de Google al estándar FIDO2.

¿Qué ocurre si pierdes o no tienes tu móvil? En ese caso, necesitarás tener activada la app Authenticator o tener un llave de seguridad (YubiKey o Titan), o haber anotado los códigos de seguridad de respaldo que Google te permite descargar e imprimir.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.