Google podría estar comercializando herramienta de seguridad comprometida: Titan Security Key

La empresa enfrenta cuestionamientos por la implementación de una nueva medida de seguridad

Recientemente Google comenzó a vender una pieza de hardware llamada Llave de Seguridad Titan (Titan Security Key), que funciona como una medida adicional de ciberseguridad al añadir autenticación de dos factores en distintos entornos en línea, sin embargo, especialistas en hacking ético cuestionan la forma en la que la empresa ha implementado esta herramienta.

Una publicación en el blog de la empresa menciona que la llave de seguridad puede usarse en cualquier entorno donde exista soporte para este tipo de herramientas, incluyendo el Programa de Protección Avanzada de Google, dirigido a aquellos que pueden estar en mayor riesgo de ciberataques, como periodistas, activistas, y políticos.

Sin embargo, al realizar el registro en el programa, después de hacer clic en la opción “Comenzar” el sitio redirige a una página en la que se menciona que se necesitan dos llaves de seguridad, una como herramienta principal, y otra como respaldo. La opción de respaldo que ofrece Google es la llave de seguridad Yubico FIDO U2F, disponible en Amazon, que parece legítima; el problema radica en la llave principal que Google pide adquirir a los usuarios, la llave de seguridad MultiPass FIDO de Feitian Technologies, empresa de seguridad establecida en China.

Tal como expertos en hacking ético han hecho notar, parece que la llave de seguridad Titan es el mismo hardware que Feitian MultiPass FIDO, comercializada por una marca diferente.

Feitian es una de las organizaciones miembros de la Alianza TI-Militar, integrada por 12 empresas en total. Acorde a observadores internacionales, Feitian menciona que el jefe del Departamento General de Armamentos expresó un profundo interés en sus productos y que la empresa proporcionaría servicio al mercado militar bajo la gran estrategia de ‘integración civil-militar’. Investigadores especialistas en el país asiático mencionan que no hay modo alguno en el que una empresa china pueda declinar integrarse a las actividades de inteligencia del gobierno.

Para especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética, el problema no radica en que Feitian sea responsable de las amenazas cibernéticas, vigilancia u otros hechos relacionados. La cuestión está en Google y su aparente decisión de establecer vínculos profundos con una compañía china que podría potencialmente comprometer sus programas de protección. En otras palabras, Feitian podría verse comprometida por el gobierno chino en nombre de las actividades de inteligencia del Estado, y no tendría más remedio que cumplir.

El programa de Google está diseñado para proteger el tipo de personas en las que el gobierno chino puede tener un interés serio, como los activistas políticos que protestan contra las medidas de control del gobierno de China.

Al dirigir a quienes están en su programa de protección con un proveedor de hardware que no está implementado con la propia marca de firmware de Google, existe la posibilidad de que se usen diferentes firmware, se presenten backdoors tanto a nivel de hardware como firmware, y otras formas de alteración en la etapa de fabricación, todo lo cual estaría fuera del control de Google.

Las descripciones ofrecidas de las llaves de seguridad de Feitian, ya sea que se compren directamente o a través de Amazon, no mencionan la inclusión del firmware de Google en ninguna forma. Esto lleva a los especialistas en hacking ético a preguntarse, ¿por qué la variante de la llave que se ofrece en Google Store ofrece el firmware de Google, mientras que las claves requeridas para el programa de protección no? Si se va a implementar un estándar de seguridad tan estricto, ¿por qué usar el hardware fabricado por actores estrechamente relacionados con un gobierno tan interesado en la vigilancia de sus opositores como el chino?

La visión más optimista es pensar que Google desconocía el vínculo entre el gobierno Chino y Feitian Technologies, aunque nadie considera realmente que la empresa haya actuado con tal desconocimiento de la compañía china.