Problemas para Paypal: Consiguen saltarse la autentificación en dos pasos

Telefonía

Se ha detectado una vulnerabilidad que afecta al sistema de seguridad de PayPal en dos pasos -2FA- El flujo de autenticación de la API de PayPal para el acceso a los servicios web permite, dado este fallo de seguridad, el acceso a cuentas protegidas.

Este sistema de seguridad, 2FA, es un mecanismo adicional que requiere de la introducción de un código adicional. El código adicional anteriormente señalado es enviado a la cuenta de correo electrónico del usuario, o bien a su teléfono móvil en forma de mensaje de tipo SMS.

Sin embargo, las aplicaciones móviles de PayPal para las diferentes plataformas móviles -sistemas operativos Windows Phone, Android e iOS- no soportan, por el momento el sistema 2FA de seguridad, del cual se ha detectado una grave vulnerabilidad que permite acceso a cuentas con este tipo de protección adicional.

captura paypal 2fa

El modo avión es capaz de “engañar” a PayPal

Como adelantábamos, las cuentas de PayPal que cuentan con la protección adicional de autenticación en dos pasos no son, por el momento, compatibles con las aplicaciones móviles de PayPal. Lo que ocurre, concretamente, es que cuanto intentamos hacer log in en una cuenta de este tipo, nos saldrá un primer pantallazo de la cuenta abierta, pero en pocos instantes el servidor devuelve una respuesta negativa denegando el acceso. El problema está en que, con sólo activar el “modo avión” durante estos instantes que dura el pantallazo, haremos imposible la respuesta del servidor de PayPal, de forma que, al reactivar la conexión de datos móviles o la conexión inalámbrica de tipo WiFi, habremos accedido sin mayor problema a la cuenta protegida de PayPal y, además, nos habremos saltado la autenticación en dos pasos.

El mayor peligro que tiene esta vulnerabilidad está en que este método de seguridad adicional fue desarrollado y está orientado para denegar el acceso a los que ya han conseguido nuestra contraseña de PayPal, puesto que también necesitarían de acceso a nuestro correo electrónico o nuestro teléfono para poder confirmar la identidad del usuario. Sin embargo, por culpa de este grave fallo de seguridad, una vez que alguien tiene nuestra contraseña de PayPal podrá acceder a nuestra cuenta sin ningún tipo de restricción, es decir, dará exactamente igual que tengamos habilitado el sistema 2FA de autenticación en dos pasos.

Escrito por Carlos González

Fuente > DUO Security

Continúa leyendo
Comentarios
9 comentarios
  1. Anónimo
    Usuario no registrado
    26 Jun, 14 2:49 pm

    Todavía no han solucionado esto? Si se lleva hablando desde hace meses

  2. Anónimo
    Usuario no registrado
    26 Jun, 14 2:57 pm

    a mí ya me han desaparecido 2,87 euros que tenía en mi cuenta ¿qué hago ahora?

    1. Anónimo
      Usuario no registrado
      26 Jun, 14 3:00 pm

      Reclamaselo a Paypal, cogerán te banearan y te dirán que eres un riesgo para su sistema.

    2. Anónimo
      Usuario no registrado
      26 Jun, 14 3:28 pm

      Sin la contraseña no te pueden quitar nada. Revisa con quiéb has compartido tus contraseñas antes de pensar en reclamar nada xD

    3. Anónimo
      Usuario no registrado
      28 Jun, 14 1:05 am

      Si has comprado algo de mayor valor, siempre cojen primero el saldo y lo que falta para completar el pago lo cojen de la tarjeta o cuenta bancaria que tengas configurada.

  3. Anónimo
    Usuario no registrado
    26 Jun, 14 3:30 pm

    Como esto va de mal en peor, ya hace tiempo que quite mi tarjeta de debito y puse una contactless a la que le meto saldo, esto me deja mas tranquilo.

    1. lloyd 28 Jun, 14 1:21 am

      hago exactamente lo mismo, pienso que es lo mejor por seguridad

  4. Anónimo
    Usuario no registrado
    26 Jun, 14 4:15 pm

    Paypal funciona perfectamente y la atención al cliente tambien,,,,yo lo uso a diario y jamás tuve un problema..supongo que los que lo usan como yo dirán lo mismo…

  5. Anónimo
    Usuario no registrado
    26 Jun, 14 7:11 pm

    Paypal es DIÓS, compro todos los meses, he tenido dos problemas en mi vida, uno de que no recibí un pedido y otro que me entregaron una versión que no se correspondía al anunciado, en ambos casos me devolvieron el 100% del dinero.