Image: Google

En julio, Google afirm√≥ que sus 85.000 empleados hab√≠an pasado un a√Īo completo sin encontrarse con alg√ļn percance de seguridad despu√©s de un requisito obligatorio del uso de claves de seguridad f√≠sicas para la autenticaci√≥n de dos factores. Ahora, esta clave de seguridad interna est√° disponible para la venta en la tienda de Google.

La autenticaci√≥n de dos factores (2FA) es lo m√≠nimo que cualquiera deber√≠a hacer para proteger sus cuentas de ataques de ingenier√≠a social como los correos electr√≥nicos de phishing. La forma m√°s com√ļn de 2FA es enviar a un usuario un mensaje de texto con un c√≥digo √ļnico despu√©s de haber ingresado su contrase√Īa b√°sica. Desafortunadamente, incluso ese m√©todo es vulnerable porque los mensajes de texto pueden interceptarse. Una clave f√≠sica es mucho m√°s segura porque un hacker necesitar√≠a tener el dispositivo en la mano para entrar en su cuenta. Google dijo a principios de este a√Īo que solo el 10% de los usuarios de Gmail han implementado 2FA, y quiere alentar a las personas a ir un paso m√°s all√° y comprar su clave de seguridad de Titan.

Advertisement

El dispositivo f√≠sico apareci√≥ en la tienda de Google el jueves y en realidad son dos dispositivos. Por 50 d√≥lares, obtienes una llave USB que se puede insertar en tu equipo para demostrar que eres realmente t√ļ, y un dispositivo de respaldo que se comunica con NFC o Bluetooth. La idea es que el Programa de Protecci√≥n Avanzada de Google requiera dos dispositivos registrados en caso de que pierda uno, y el dispositivo NFC / Bluetooth es m√°s conveniente para desbloquear un dispositivo m√≥vil.

Image: Wikimedia

Si bien es f√°cil ver el movimiento como que Google trata de obtener una parte de la lucrativa industria de las llaves f√≠sicas que suministra a los clientes empresariales compras enormes para proteger a las empresas ricas en objetivos, le ahorrar√≠a a la compa√Ī√≠a muchos dolores de cabeza si sus usuarios fueran m√°s seguros. Cuando Titan se anunci√≥ por primera vez, parec√≠a que podr√≠a haber algo de mala sangre entre Google y Yubico, uno de los principales fabricantes de llaves f√≠sicas. Las dos compa√Ī√≠as hab√≠an trabajado juntas anteriormente en el desarrollo del est√°ndar de la industria FIDO. El CEO de Yubico afirm√≥ que no estaban de acuerdo con la decisi√≥n de Google de seguir adelante con la implementaci√≥n de Bluetooth, y Yubico a√ļn siente que NFC sigue siendo el √ļnico m√©todo de verificaci√≥n inal√°mbrico de confianza. El CEO tambi√©n pareci√≥ cuestionar la seguridad de la l√≠nea de fabricaci√≥n de Google.

Advertisement

En ese momento, un portavoz de Google se negó a comentar cuando Gizmodo preguntó si querían abordar esas preocupaciones. Pero en una publicación del blog el jueves, Christiaan Brand, gerente de producto de Google Cloud, dijo un poco más sobre el proceso de fabricación:

El firmware que realiza las operaciones criptogr√°ficas ha sido dise√Īado por Google con la seguridad en mente. Este firmware est√° sellado de forma permanente en un chip de hardware de elementos seguros en el momento de la producci√≥n en la f√°brica de producci√≥n de chips. El chip de hardware seguro que usamos est√° dise√Īado para resistir ataques f√≠sicos destinados a extraer firmware y material de claves secretas.

Estos chips de hardware sellados permanentemente se entregan a la línea de fabricación que hace la llave de seguridad física. Por lo tanto, la confianza en Titan Security Key está anclada en el chip sellado en comparación con cualquier otro paso posterior que tenga lugar durante la fabricación del dispositivo.

Advertisement

Android Police se√Īala el hecho de que las llaves de Google se ven notablemente similares a los dispositivos del fabricante de llaves f√≠sicas de confianza Feitian. Le preguntamos a Google directamente si Feitian est√° manejando el ensamblaje y un portavoz nos dijo: ‚ÄúGoogle es el fabricante del registro y contratamos a un tercero para que produzca las llaves. El firmware es la pieza m√°s importante aqu√≠‚ÄĚ. ‚Äúso puede ser cierto, y no hay raz√≥n para creer que Feitian produzca las claves es algo de lo que preocuparse.

En su publicaci√≥n, Google ni siquiera intenta arrodillarse ante sus competidores y reconoce que los dispositivos de Yubico, Feitian y ‚Äúmuchos otros‚ÄĚ son bastante buenos. Lo m√°s importante es llevar a las personas al Programa de Protecci√≥n Avanzada de Google que ofrece servicios como notificarle si su contrase√Īa ha aparecido en repositorios online por hackers que venden informaci√≥n o simplemente est√°n causando alg√ļn tipo de caos.

En cuanto a que Bluetooth es un riesgo para la seguridad, hemos visto vulnerabilidades emergentes en el estándar, pero siempre se puede seguir con NFC para manejar la verificación con ese dispositivo. Elegir una clave de cualquiera de los grandes nombres mencionados aquí debería ser suficiente. [Google via Android Police]