Se ha solicitado a la empresa información sobre la cadena de suministro de su software de seguridad producida en China
Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, en días pasados Google comenzó a vender en Google Store la Llave de Seguridad Titan, un token físico que ofrecen una autenticación de dos factores más robusta que la que brinda un código SMS o una aplicación móvil. En lugar de simplemente proporcionar una contraseña, que un hacker lo suficientemente hábil puede ser capaz de obtener, el usuario también deberá enchufar el token de seguridad en su computadora o colocarlo cerca de su teléfono cuando se inicia sesión.
Pero varios expertos se muestran preocupados por la seguridad de estos dispositivos pues, como ya se ha reportado, son en realidad producidos por Feitian, una compañía china. A través de los medios especializados, los especialistas han solicitado a Google que sea más transparente respecto a estas herramientas, frente a la posibilidad de que el gobierno chino pudiera hackear a los usuarios de las llaves.
Estos tokens físicos se utilizan para bloquear cuentas en línea, como correo electrónico o almacenamiento en la nube. Varias compañías diferentes ofrecen tales herramientas, y Google ha dicho anteriormente que las llaves de seguridad son la razón por la cual ninguno de sus más de 85 mil empleados ha sido víctima de fraude desde principios de 2017.
Pero la llave de seguridad Titan no está realmente hecha por Google, pues la empresa ha confirmado que Feitian sí fabrica las llaves. Legalmente, Google es el fabricante, pero la compañía tiene un contrato con un tercero para producir las llaves. Sin embargo, ese vínculo con China es lo que mantiene preocupados a los expertos en hacking ético.
En términos generales, una preocupación es que el gobierno chino pudiera obligar a Feitian a introducir algún tipo de backdoor en los dispositivos, o interceptar y manipular las llaves, permitiendo que el gobierno acceda a las cuentas de los usuarios de los dispositivos.
Google ha enfatizado sobre cómo el firmware mejora la seguridad de las llaves de seguridad Titan. Tal como un portavoz de la empresa mencionó en meses pasados, las llaves incluyen firmware desarrollado por la empresa para verificar su integridad y asegurarse de que no sufran de manipulación; esto, acorde a la empresa, es lo que distingue a la llave de seguridad Titán del resto de opciones disponibles en el mercado.
Sin embargo, esto no parece ser suficiente para algunos especialistas.
Dan Guido, especialista en hacking ético, menciona que es necesario que el público sepa qué cambios hicieron al firmware de Feitian, o si la empresa desarrolló el firmware desde cero. De ser así, también es necesario saber qué procedimiento fue utilizado para alcanzar un resultado seguro satisfactorio. El especialista menciona que es imposible actualizar el firmware en la mayoría de las llaves, lo que significa que los proveedores deben hacer las cosas bien la primera vez. Asimismo, es necesario saber si Google agregó una función de actualización, “de ser así, yo evitaría su uso o recomendación”, mencionó el especialista.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
