Los sistemas de autenticación en dos pasos también son vulnerables

Los sistemas de verificación en dos pasos surgieron para blindar las cuentas online de los usuarios, especialmente en servicios especialmente sensibles como pueden ser el correo electrónico, que permite intercambiar datos confidenciales, o las plataformas de ecommerce, que utilizan información bancaria.

Dichos sistemas solicitan, además del típico dúo compuesto por nombre de usuario más contraseña de acceso, un segundo elemento identificativo que permita autenticar la identidad de dueño legítimo de la cuenta. Éste elemento suele ser un código numérico enviado al teléfono.

Sin embargo, a veces surgen problemas que permiten torpedear la seguridad de la verificación en dos pasos, como el que está afectando al Security Key de PayPal.

Un equipo de investigación de Duo Security ha descubierto un fallo en “el flujo de autenticación para el servicio web de la API de PayPal”, que afectaría a los programas oficiales y también a los desarrollados por terceros y que, en la práctica permitiría “engañar eficazmente a las aplicaciones móviles de PayPal para que ignoren el indicador 2FA en la cuenta”, según explica la propia compañía en su blog.

Todo esto significa que lo único que necesitarían potenciales ciberdelincuentes para hackear una cuenta de PayPal sería contar con los datos correspondientes a la primera parte de la identificación: el username y el password.

Tras emitir una solución temporal, PayPal ya estaría trabajando en un parche definitivo para corregir este problema. Puedes encontrar más información sobre el caso en este artículo de Silicon News.