Convierte tu Android en un token anti-phishing

24 abril, 2019
19 Compartido 2,416 Visualizaciones

Google acaba de anunciar una nueva función de seguridad que permite a los usuarios de Android 7 o posterior utilizar sus teléfonos para autentificarse en sus cuentas de Google.

Esta noticia quedó eclipsada entre todas las mejoras orientadas a las empresas reveladas el miércoles pasado en Google Cloud Next 2019 en San Francisco.

Publicada como beta, esta funcionalidad está diseñada para proteger a los usuarios de Google de ataques de phishing. Una vez activada, el usuario se conecta a su cuenta Google utilizando su nombre de usuario y contraseña como siempre y a continuación tiene que hacer clic en un enlace en su móvil, previamente registrado, para completar el proceso.

Se trata del mismo principio que utiliza un token USB FIDO llamado YubiKey (o la llave Titan de Google que lanzó el año pasado), excepto por que el propio móvil se convierte en el token.

De esta forma se vence al phishing como si se tratara de un token ya que no es suficiente que un atacante conozca el nombre de usuario y la contraseña de un usuario para poder entrar en su cuenta, sino que también es necesario tener acceso físico a su móvil.

 Requisitos

Para usar tu móvil Android (parece que las tablets aún no son compatibles) como un token de seguridad, debes  utilizar Android 7.x o posterior y necesitas activar el Bluetooth.

Tu ordenador también debe tener Bluetooth y utilizar la última versión de Chrome, en un ordenador Chrome OS, macOS X o Windows.

¿Cómo activarlo?

Según el centro de asistencia de Google:

Paso 1: Añade la llave de seguridad a tu cuenta de Google

  1. Activa la verificación en dos pasos y añade un método de verificación, como los mensajes de Google. Si ya utilizas la verificación en dos pasos, puedes saltarte este punto.
  2. En tu teléfono Android, accede a myaccount.google.com/security.
  3. En “Iniciar sesión en Google”, toca Verificación en dos pasos. Es posible que tengas que iniciar sesión.
  4. Desplázate hacia abajo, hasta “Configurar un segundo paso alternativo”.
  5. Selecciona Añadir llave de seguridad y luego Tu teléfono Android y luego Activar.

Paso 2: Utiliza la llave de seguridad integrada de tu teléfono Android

  1. Asegúrate de que el Bluetooth esté activado en la configuración o en las preferencias de tu ordenador.
  2. Desde tu ordenador, inicia sesión en tu cuenta de Google con tu nombre de usuario y tu contraseña.
  3. Busca una notificación en tu teléfono Android.
  4. En tu teléfono Android, toca dos veces la notificación “¿Estás intentando iniciar sesión?”.

¿Cómo funciona?

Google ofrece unos pocos detalles técnicos en esta entrada de blog, pero podemos asumir que sigue los protocolos FIDO2 que recientemente añadió a Android, y el más amplio estándar de autentificación WebAuthn.

Resumiendo, los navegadores que soporten WebAuthn se comunican de forma segura con el servidor, en este caso, Google, verificando su autenticidad. El protocolo FIDO2, mientras tanto, gestiona la parte donde el ordenador y el móvil se comunican para verificar que el usuario tiene presente el móvil.

La segunda parte funciona empleando el Client to Authenticator Protocol (CTAP) de FIDO2, que realiza la autenticación con el móvil vía Bluetooth.

Un informe sobre el evento también menciona algo llamado “cloud-assisted Bluetooth Low Energy (caBLE)”. No está claro lo que es, pero puede que sea la próxima aportación de Google al estándar FIDO2.

¿Qué ocurre si pierdes o no tienes tu móvil? En ese caso, necesitarás tener activada la app Authenticator o tener un llave de seguridad (YubiKey o Titan), o haber anotado los códigos de seguridad de respaldo que Google te permite descargar e imprimir.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Claves del II Congreso Auditoría y GRC de Isaca Madrid Chapter
Actualidad
9 compartido1,111 visualizaciones
Actualidad
9 compartido1,111 visualizaciones

Claves del II Congreso Auditoría y GRC de Isaca Madrid Chapter

Vicente Ramírez - 22 marzo, 2019

Isaca Madrid Chapter celebró ayer la segunda edición de su Congreso de Auditoría y GRC en la Torre Bankia. Este…

Veritas lleva la protección de datos empresariales al entorno Edge con Flex 5150
Actualidad
3 compartido942 visualizaciones
Actualidad
3 compartido942 visualizaciones

Veritas lleva la protección de datos empresariales al entorno Edge con Flex 5150

Alicia Burrueco - 25 octubre, 2019

La última incorporación al portfolio de soluciones de Veritas ayuda a las organizaciones a aumentar la disponibilidad, protección y conocimiento…

Predicciones para 2018: Se espera un aumento en cifras de desastres y en el crecimiento de datos
Cloud
830 visualizaciones
Cloud
830 visualizaciones

Predicciones para 2018: Se espera un aumento en cifras de desastres y en el crecimiento de datos

Samuel Rodríguez - 26 diciembre, 2017

El presente 2017 acabará antes de que nos demos cuenta y ahora es el momento de pensar en cómo será…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.