Google está ampliando su nueva autenticación de dos factores (2fa) basada en Android para las personas que inician sesión en los servicios de Google y Google Cloud en iPhones y iPads. Si bien Google merece apoyo por tratar de hacer que la autenticación más sólida esté disponible para más usuarios, la evitaré a favor de los métodos 2fa que Google ha implementado durante años. Explicaré por qué más tarde. Primero, aquí hay algunos antecedentes.
Google anunció por primera vez la clave de seguridad integrada de Android en abril, cuando entró en versión beta, y nuevamente en mayo, cuando estuvo disponible para el público en general. La idea es hacer que los dispositivos ejecuten Android 7 y el dispositivo 2fa principal de los usuarios. Cuando alguien ingresa una contraseña válida en una cuenta de Google, el teléfono muestra un mensaje que alerta al propietario de la cuenta. Luego, los usuarios presionan un botón “sí” si el inicio de sesión es legítimo. Si se trata de un intento no autorizado, el usuario puede bloquear el inicio de sesión.
El sistema tiene como objetivo reforzar la seguridad de la cuenta de una manera significativa. Una de las principales causas de las filtraciones de cuentas son las contraseñas que se ven comprometidas en ataques de phishing u otros tipos de robos de datos. Google ha sido líder en lo que respecta a las protecciones de dos factores que, por definición, requieren algo además de una contraseña para que alguien pueda acceder a una cuenta.
Entre las formas más sólidas de 2fa disponibles en Google se encuentran las claves de seguridad criptográficas que se conectan a la ranura USB de una computadora. Estas claves se basan en estándares de la alianza FIDO de toda la industria. Son extremadamente confiables y virtualmente imposibles de phishing. Las versiones posteriores que usaban Bluetooth de baja energía o comunicación de campo cercano funcionaban de forma nativa con dispositivos Android, pero hasta ahora no han sido un buen comienzo para los usuarios de iOS, que se quejan de que los dispositivos no siempre funcionan de manera confiable.
Eso ha dejado a Google luchando por encontrar otra forma aprobada por FIDO para que las masas hagan 2fa. Y ahí es donde entran en juego las claves integradas de Android. Desafortunadamente, también hay desventajas clave en este método. En primer lugar, se basa en Bluetooth y todos sus enloquecedores problemas técnicos para que el teléfono se comunique con el dispositivo macOS, Windows 10 o Chrome OS en el que el usuario está iniciando sesión. En segundo lugar, también funciona solo cuando las personas inician sesión en una cuenta utilizando el navegador Chrome de Google. Otros navegadores y aplicaciones no tienen suerte. Otra deficiencia era que las claves de Android no estaban disponibles para los usuarios que iniciaban sesión desde un dispositivo iOS.
El miércoles, Google está abordando este último inconveniente con un nuevo método que lleva las claves de Android a los usuarios de iPhone y iPad. Se basa en la aplicación Google Smart Lock que se ejecuta en el dispositivo iOS que se comunica a través de Bluetooth con la clave integrada almacenada en el teléfono o tableta Android del usuario. (La aplicación, que también se usa para hacer que las claves criptográficas basadas en FIDO funcionen con dispositivos iOS, tiene calificaciones de usuarios de solo 2.2 de 5). Google tiene instrucciones adicionales aquí. Los representantes de la compañía se negaron a proporcionar entrevistas para esta publicación.
Gracias pero no gracias
Pasé unos 90 minutos intentando que el método funcionara entre un iPad mini y un Pixel XL. No tuve problemas para configurar la clave integrada de Android y usarla para autenticar los inicios de sesión desde una computadora macOS tanto en una cuenta personal de Google como en una cuenta de trabajo proporcionada por G Suite. Por desgracia, nunca pude hacer que las teclas de Android funcionaran al iniciar sesión en cualquiera de las cuentas en el iPad mini. Fue una experiencia frustrante, pero al menos fue un progreso. El editor de Ars Reviews, Ron Amadeo, me dijo que no pudo hacer funcionar ni siquiera la pieza de Android cuando lo intentó hace varias semanas.
No descartaré la posibilidad de que la falla sea, al menos en parte, el resultado de un error del usuario. Pero ese no es el punto. Si la gente de un sitio de tecnología tiene dificultades, también lo tendrán la tía Mildred o el tío Frank en Poughkeepsie. Y dadas las peculiaridades de Bluetooth mencionadas anteriormente, parece completamente plausible que nuestra incapacidad para hacer funcionar las teclas integradas de Android fue el resultado de una falla de los dispositivos para conectarse a través de este canal inalámbrico.
Y ya que estamos hablando de deficiencias de Bluetooth, no olvidemos que Google advirtió recientemente que la versión Bluetooth Low Energy de la clave de seguridad Titan que vende para la autenticación de dos factores puede ser secuestrada por atacantes cercanos. La debilidad no significa automáticamente que Bluetooth sea inseguro, pero sugiere que el canal puede ser menos adecuado para protocolos de seguridad altamente sensibles de lo que reconocen algunos ingenieros. Entonces, por el momento, no tengo planes de usar las claves de Android al iniciar sesión en Google en mis dispositivos iOS. En cambio, continuaré usando la función de autenticación de Duo Mobile (Google Authenticator funciona casi de manera idéntica), como lo he hecho durante un tiempo. Este mecanismo no es perfecto. Los números de token de una sola vez son de corta duración, pero aún pueden ser obtenidos por atacantes rápidos que ingresan las credenciales en una cuenta real de Google inmediatamente después de que un objetivo las ingresa en un sitio de phishing similar. Ese escenario puede ayudar a explicar cómo los piratas informáticos iraníes lograron recientemente eludir las protecciones 2fa ofrecidas por Yahoo Mail y Gmail.
Otra opción 2fa para usuarios de iOS es el indicador de Google, que ha estado disponible durante más de un año. Desafortunadamente, esa protección también puede ser abusada por phishers de acción rápida.
Entonces, gracias, Google, por esforzarse tanto para llevar 2fa fácil de usar a más usuarios. Pero pasaré esta última oferta hasta que la industria solucione este lío.