El día de hoy, Google anunció que un error de seguridad en su llave de seguridad Titan de Bluetooth podría dejar una brecha abierta para que un atacante que tenga acceso a la red pueda eludir la seguridad de este dispositivo.
Las llaves Titán son un dispositivo propiedad de Google que permite iniciar sesión en nuestra computadora sin la necesidad de ingresar un user o contraseña.
Un fallo de seguridad
De acuerdo con la fuente, este error se debe a una “mala configuración en los protocolos de emparejamiento de Bluetooth de las llaves de seguridad Titan”, que afecta a todas las llaves Titan Bluetooth que se venden por un precio de USD$ 50. Las mismas que vienen en un paquete junto a una llave USB/NFC estándar que contiene un “T1” o “T2” en la parte posterior.
¿Cómo funciona?
Google menciona que existen dos formas en los que los atacantes pueden burlar la seguridad de estas llaves Titán. La primera de ellas se presenta cuando el atacante se encuentra dentro del alcance de Bluetooth y actuar de forma rápida presionando el botón de la tecla para activarlo.
Luego, los atacantes podrán usar este protocolo mal configurado para conectar su propio equipo a la clave antes de que nuestro dispositivo se conecte, desde luego una acción donde la rápidez será la clave.
En este sentido, y asumiendo que el atacante cuenta con la clave y el nombre de usuario de la víctima podrá ingresar en su cuenta, sin embargo, la fuente destaca que para ello, el atacante debe haber emparejado previamente el dispositivo.
La segunda forma ocurre cuando el atacante puede explotar este error a través del uso de un dispositivo propio, y es que al parecer este podrá ser utilizado para enmascararlo como la clave de seguridad del usuario, logrando darle acceso al dispositivo de la víctima cuando este presione el botón de la tecla.
Un proceso que le permite a los atacantes cambiar su dispositivo, para que este se parezca a un teclado o ratón y obtener todo el acceso necesario para controlar la computadora de la victima.
Una llave que aún protege contra el Phishing
Muy a pesar de este inconveniente Google destaca que las llaves Titán siguen siendo uno de los mejores métodos para evitar que sustraigan nuestros datos a través de los ataques de phishing, pues “este problema no afecta la misión principal de la clave Titan”.
En vista de los inconvenientes, Google informó que se encuentran trabajando en la distribución gratuita de reemplazos de estas llaves de seguridad, por lo que alentan a los usuarios a protegerse y seguir utilizando estas llaves defectuosas hasta que la compañía sea capaz de proporcionarles un reemplazo.
Una situación que desde luego deja entre dicha la capacidad de seguridad de estas llaves de Bluetooth, que en un principio causaron cierta desconfianza a empresas como Yubico, quienes decidieron no utilizar esta característica de conexión, pues a su parecer estas podrían traer problemas futuros de seguridad.