Recientemente, mencionamos el lanzamiento de la nueva aplicación de 2FA de Proton, una alternativa a opciones como Google Authenticator. Sin embargo, poco después de su lanzamiento, se identificó y corrigió un problema. Este error provocaba la filtración de TOTP secretos en los registros. A continuación, te explicamos en qué consiste esta situación y cómo puede afectar a los usuarios.
Proton Authenticator es una aplicación gratuita disponible para Windows, macOS, Linux, iOS y Android. Su objetivo es facilitar la autenticación en dos pasos, añadiendo una capa adicional de seguridad para proteger cuentas como redes sociales o bancarias. La aplicación gestiona TOTP (contraseñas temporales basadas en el tiempo) que son utilizadas en la autenticación multifactor. Esto se traduce en códigos únicos y temporales necesarios para acceder a una cuenta.
Proton expone TOTP
El inconveniente radica en que la aplicación de Proton Authenticator ha expuesto estos TOTP en los registros de la versión de iOS, accesibles en Ajustes -> Registros, según reporta Bleeping Computer. Además, un hilo en Reddit, que ya ha sido eliminado, documentaba la experiencia de un usuario que alertó sobre este problema.
En su publicación, el usuario mencionó que al importar sus cuentas de 2FA y activar la sincronización y copia de seguridad, notó que varias entradas de 2FA habían desaparecido, lo que pudo haber ocurrido tras editar una etiqueta de su entrada.
Al generar un informe de error, se percató de algo alarmante: al revisar el archivo de registro, descubrió que contenía todos los TOTP secretos en texto plano.
Desde Proton, en línea con la información de Bleeping Computer, confirmaron que existía un error en la versión para iOS que ya ha sido solucionado. Es fundamental actualizar a la versión 1.1.1, que ya está disponible en la tienda oficial de aplicaciones de iOS.
No es una vulnerabilidad explotable
Proton también ha manifestado: “Hemos actualizado la aplicación de iOS para modificar el comportamiento del registro. Sin embargo, esta no es una vulnerabilidad que un atacante pueda aprovechar. Si un atacante tiene acceso a su dispositivo y a los registros locales, puede acceder a los secretos, pero Proton (ni ninguna aplicación de 2FA) puede evitarlo.”
Esto implica que los datos de los registros no son explotables de forma remota, ya que requieren acceso físico al dispositivo. El riesgo radica en que, accidentalmente, estos datos podrían ser compartidos o publicados en otros lugares. Esto podría suceder al diagnosticar un problema o error, como ocurrió con el usuario en Reddit.
A pesar de que el riesgo de explotación remota es casi inexistente, registrar este tipo de secretos en texto plano contraviene principios fundamentales de desarrollo seguro, como los establecidos por OWASP. Esta práctica, conocida como ‘Information Exposure Through Log Files’ (CWE-532), genera un riesgo innecesario: si un atacante tiene acceso físico o utiliza malware en el dispositivo, podría extraer estos registros y comprometer todas las cuentas 2FA de forma retroactiva. La defensa en profundidad requiere que los datos sensibles no se almacenen sin cifrado, independientemente de otros controles de seguridad.
En resumen, Proton tuvo que corregir un primer error en su nueva aplicación para generar códigos 2FA. Este problema afecta únicamente a iOS y no a otros sistemas operativos. Además, se trata de un error limitado que solo puede ser explotado con acceso físico, no de manera remota. Es la primera semana desde el lanzamiento de esta aplicación y ya han tenido que abordar un fallo.
Preguntas frecuentes
¿Qué significa 2FA?
La autenticación en dos pasos implica que tus cuentas están protegidas por una segunda capa. Además de la contraseña básica, necesitas otro código para acceder.
¿Dónde puedo usar la autenticación en dos pasos?
Puedes usar esta medida de seguridad en redes sociales, correos electrónicos, cuentas bancarias, tiendas en línea y muchas otras plataformas.
¿Es seguro utilizar la autenticación en dos pasos?
La 2FA es segura y se recomienda encarecidamente para proteger cuentas en línea.
