Expertos piden a Google claridad sobre su llave de seguridad

Se ha solicitado a la empresa información sobre la cadena de suministro de su software de seguridad producida en China

Acorde a especialistas en¬†hacking √©tico¬†del Instituto Internacional de Seguridad Cibern√©tica, en d√≠as pasados¬†Google¬†comenz√≥ a vender en Google Store la¬†Llave de Seguridad¬†Titan, un token f√≠sico que ofrecen una autenticaci√≥n de dos factores m√°s robusta que la que brinda un c√≥digo SMS o una aplicaci√≥n m√≥vil. En lugar de simplemente proporcionar una contrase√Īa, que un hacker lo suficientemente h√°bil puede ser capaz de obtener, el usuario tambi√©n deber√° enchufar el token de seguridad en su computadora o colocarlo cerca de su tel√©fono cuando se inicia sesi√≥n.

Pero varios expertos se muestran preocupados por la seguridad de estos dispositivos pues, como ya se ha reportado, son en realidad producidos por Feitian, una compa√Ī√≠a china. A trav√©s de los medios especializados, los especialistas han solicitado a Google que sea m√°s transparente respecto a estas herramientas, frente a la posibilidad de que el gobierno chino pudiera hackear a los usuarios de las llaves.

Estos tokens f√≠sicos se utilizan para bloquear cuentas en l√≠nea, como correo electr√≥nico o almacenamiento en la nube. Varias compa√Ī√≠as diferentes ofrecen tales herramientas, y Google ha dicho anteriormente que las llaves de seguridad son la raz√≥n por la cual ninguno de sus m√°s de 85 mil empleados ha sido v√≠ctima de fraude desde principios de 2017.

Pero la llave de seguridad Titan no est√° realmente hecha por Google, pues la empresa ha confirmado que Feitian s√≠ fabrica las llaves. Legalmente, Google es el fabricante, pero la compa√Ī√≠a tiene un contrato con un tercero para producir las llaves. Sin embargo, ese v√≠nculo con China es lo que mantiene preocupados a los expertos en hacking √©tico.

En t√©rminos generales, una preocupaci√≥n es que el gobierno chino pudiera obligar a Feitian a introducir alg√ļn tipo de backdoor en los dispositivos, o interceptar y manipular las llaves, permitiendo que el gobierno acceda a las cuentas de los usuarios de los dispositivos.

Google ha enfatizado sobre cómo el firmware mejora la seguridad de las llaves de seguridad Titan. Tal como un portavoz de la empresa mencionó en meses pasados, las llaves incluyen firmware desarrollado por la empresa para verificar su integridad y asegurarse de que no sufran de manipulación; esto, acorde a la empresa, es lo que distingue a la llave de seguridad Titán del resto de opciones disponibles en el mercado.

Sin embargo, esto no parece ser suficiente para algunos especialistas.

Dan Guido, especialista en hacking √©tico, menciona que es necesario que el p√ļblico sepa qu√© cambios hicieron al firmware de Feitian, o si la empresa desarroll√≥ el firmware desde cero. De ser as√≠, tambi√©n es necesario saber qu√© procedimiento fue utilizado para alcanzar un resultado seguro satisfactorio. El especialista menciona que es imposible actualizar el firmware en la mayor√≠a de las llaves, lo que significa que los proveedores deben hacer las cosas bien la primera vez. Asimismo, es necesario saber si Google agreg√≥ una funci√≥n de actualizaci√≥n, ‚Äúde ser as√≠, yo evitar√≠a su uso o recomendaci√≥n‚ÄĚ, mencion√≥ el especialista.