Google es desde hace largos años una de las compañías más implicadas (e interesadas) en promover sistemas de identificación seguros. La compañía, que no en vano fue una de las primeras en introducir la autenticación en dos pasos de forma masiva, fue noticia no hace tanto tiempo por ofrecer mochilas USB FIDO para aquellos usuarios que requieran la máxima protección, y ahora ha dado a conocer que cualquier teléfono con Android 7 o superior podrá ser utilizado como llave física.
El nuevo sistema de identificación de dos pasos, ya disponible en fase beta, permite asociar mediante Bluetooth un teléfono móvil a un navegador Chrome para verificar el acceso del usuario a las cuentas de Google, incluyendo Gmail, Drive y las aplicaciones de G Suite. La idea es añadir una capa más de seguridad, de forma que aunque un atacante haya podido hacerse con la dirección de correo y la contraseña del usuario, todavía necesite tener acceso físico al teléfono para entrar a su cuenta.
Según señala TechCrunch, aunque por ahora solo funciona con el ecosistema de Google, la compañía espera que su método de verificación sea utilizado por otros navegadores, servicios y aplicaciones.
Llegados a este punto es necesario señalar que esta no es ni remotamente la primera vez que Google permite utilizar el teléfono móvil como método de identificación, pero intentos anteriores eran menos seguros. El nuevo sistema se basa en las tecnologías FIDO y WebAuthn, mucho más robustas que los códigos de verificación por SMS (secuestrables y excesivamente dependientes de la cobertura), y así como la extendida pantalla de verificación Google Prompt resulta práctica, no siempre es segura o estable.
Una de las principales ventajas del nuevo método de verificación en dos pasos de Google es que requiere una conexión Bluetooth. Y puesto que este tipo de enlaces tienen una distancia de comunicación relativamente corta, se reduce el riesgo de que alguien pueda acceder al teléfono del usuario mientras este no mira.
Los usuarios interesados en probar el nuevo proceso de identificación en dos pasos pueden hacerlo siguiendo las instrucciones que Google ha dejado en su sitio de ayuda.
El nuevo sistema de identificación de dos pasos, ya disponible en fase beta, permite asociar mediante Bluetooth un teléfono móvil a un navegador Chrome para verificar el acceso del usuario a las cuentas de Google, incluyendo Gmail, Drive y las aplicaciones de G Suite. La idea es añadir una capa más de seguridad, de forma que aunque un atacante haya podido hacerse con la dirección de correo y la contraseña del usuario, todavía necesite tener acceso físico al teléfono para entrar a su cuenta.
Según señala TechCrunch, aunque por ahora solo funciona con el ecosistema de Google, la compañía espera que su método de verificación sea utilizado por otros navegadores, servicios y aplicaciones.
Una de las principales ventajas del nuevo método de verificación en dos pasos de Google es que requiere una conexión Bluetooth. Y puesto que este tipo de enlaces tienen una distancia de comunicación relativamente corta, se reduce el riesgo de que alguien pueda acceder al teléfono del usuario mientras este no mira.
Los usuarios interesados en probar el nuevo proceso de identificación en dos pasos pueden hacerlo siguiendo las instrucciones que Google ha dejado en su sitio de ayuda.
Pd: POLEEE
Supongo que por eso han decidido meter el inicio con el Bluetooth. Ahora es cuando no tengo ningún PC con bluetooth y no uso Chrome.
Mmmm... no se como te han llegado a entrar tantas veces... me parece super raro xD.
La confirmación de google es solo el móvil con un SI o un NO, pero si tras unos segundos no pulsas nada te da alternativas como mail o código SMS, es fácil hackear el SMS o el mail si han llegado a la confirmación en dos pasos y buala, en el móvil queda la confirmación pero ya te han entrado y sacado lo que querían.
En el caso del autenticador es un número de seis cifras, probando aleatoriamente hay una probabilidad muy baja pero es posible hackear el autenticador y saltarse la seguridad. Que de hecho buscándolo te salen tutoriales y todo (flipo).
Igual ya dije que gracias a GOOGLE y FACEBOOK mi mail está muy comprometido y la contraseña que usaba antes también así que es normal que me haya pasado.
En fin, me han accedido a casi todo básicamente.
- Outlook: Fue el primero con autentificacion de dos pasos. Simplemente mandaba spam de viagra a todo el mundo.
- Facebook: Con lo último que ha salido no me extraña que hackearan con facilidad.
- Epic: Lograron saltarse el inicio en dos pasos y Epic no quiso hacer nada por solucionarlo así que pedí que borraran la cuenta y encima se disculparon por que me fuera. VENGA YA.
- Uplay: Lograron saltarse el inicio en dos pasos y Ubisoft bloqueo la cuenta e investigaron el problema, aun así poco después me dejaron un link para restablecer la contraseña. De todas formas me volvieron a acceder meses después nuevamente saltando la seguridad en dos pasos y el mes pasado lo volvieron hacer. Con cambiar la contraseña basta para unos meses pero eso es todo y siempre el ataque es desde diferentes IPs del mundo. Supongo van probando hasta dar con una contraseña que da por válida y luego el BOT intenta y re-intenta miles de veces.
En la cuenta de EPIC solo tenia el UDK y en Uplay solo los juegos gratuitos que han dado. Outlook me jodió bastante ya que también enviaba a empresas donde había trabajado y se molestaron y Facebook bueno, aparecían publicaciones con spam y enviaba mensajes a desconocidos con spam, seguramente links para infectar a otros.
Yo creo que la mejor seguridad seria usar el lector de huellas del Smartphone, se ha demostrado que no es imposible falsificar eso pero es más complicado. Yo que se, nada es seguro.
Amigo, eso de que te llega un correo donde te dice que hay un intento de acceso y te pregunta si eres tu quiere decir que intentaron acceder con tu usuario y contraseña a la cuenta, pero no le dieron acceso al ser desde otro dispositivo o que la ip era de una localizacion demasiado lejana a la habitual. Quiere decir que no te accedieron precisamente por el tema de los dos pasos aun sabiendo tu usuario y contraseña.
Lo que deberias hacer nada mas recibir el primer correo de aviso es cambiar tu contraseña y las preguntas secretas porque estas estan comprometidas. Y si tenias una contraseña fuerte deberias revisar tu ordenador por si tienes troyanos o lo que sea (o si usas la misma contraseña en diferentes sitios, deja de hacerlo pero ya).
Los avisos de Epic es porque a los muy inutiles les robaron datos de un porron de cuentas y nos toco cambiarlas a todo dios. Google que yo sepa no tuvo un robo masivo de datos, salvo 5 millones de cuentas que aparecieron porque los passwords eran los mismos que se utilizaban en otros sitios que si fueron comprometidos.
Yo jamas he tenido ningun problema, ni conozco a nadie con problemas de que le hayan intentado entrar en la cuenta de Google (salvo obviamente casos de peña con contraseñas facilmente deducibles o que usen la misma contraseña en tropecientos sitios y alguno se viese comprometido).
No uso la misma contraseña para todo e inmediatamente la cambio si pasa, si uso la misma para ciertos sitios que me da igual si pasa algo pero otros ya no uso lo mismo, siempre voy usando contraseñas HEX que es lo más complicado de sacar. Hay la web esa que te dice si mail y pass están comprometidas y mail si, de mucho, contraseñas unas cuantas si están comprometidas pero ya no las uso, de hecho en diciembre me llego un mail cuyo titulo era mi Nombre y una de las contraseñas que usaba y el mensaje era que tenia un vídeo de mi mirando porno y que si no pagaba unos 900€ en bitcoins mandarían el video a mis contactos... Se que es falso pero la contraseña que usaba ya está allí comprometida. Las preguntas de seguridad ni idea, pongo un texto y me olvido siempre que he puesto xD, así que pongo cosas aleatorias siempre, total cuando pongo cambiar no me pide que había escrito en un inicio, solo que ponga el nombre de profesor, mascota o que se yo.
Al que le robaron cosas teniendo la autenticación en dos pasos activa es seguramente por los permisos condecidos a aplicaciones de terceros...
Sin ánimo de ofender. Todo lo que has ido contando es de lo más surrealista que he leído en tiempo xD
Algo estás haciendo mal. Ya sea apps en el móvil. Algún bicho en el PC, wifi del vecino etc. Pero todo lo que cuentas no es ni remotamente normal.
Un saludo
He visto casos extremos como en una empresa donde trabajaban con el servidor lleno de virus y les daba totalmente igual, si algún virus borraba algo, copia de seguridad y a seguir. Todas las cuentas de usuarios estaban comprometidas y ojo, tenían números de cuentas bancarias y tarjetas de crédito así que... (si, hable con el jefe pero decía que no pasaba nada...) y debo decir que por obligación (trabajos) en esa empresa debía iniciar sesión en google y outlook por lo que no es de extrañar que estén afectadas las cuentas.
La de Facebook después de lo ocurrido no me extraña nada. La de Epic por el Fortnite, aunque no lo he jugado en la vida el hackeo era por el juego. Supongo que la de Uplay más de lo mismo por algún juego que tenga Ubisoft o que se yo. En Steam me han intentado acceder pero de estos que son Chats de amigos donde te dice "Hey amigo, mira está captura que he hecho URL", es totalmente falso y si le das al link ya la has cagado. El compañero al que le hackearon el Steam me aviso que ignorara todo lo que me llegara por su parte, pudo solucionarlo hablando con VALVe pero tardo meses ya que VALVe no es nada flexible en estos temas.
Por eso, nunca inicies sesión en lugares que no debas si no quieres verte en apuros.