Se ha detectado una vulnerabilidad que afecta al sistema de seguridad de PayPal en dos pasos -2FA- El flujo de autenticación de la API de PayPal para el acceso a los servicios web permite, dado este fallo de seguridad, el acceso a cuentas protegidas.
Este sistema de seguridad, 2FA, es un mecanismo adicional que requiere de la introducción de un código adicional. El código adicional anteriormente señalado es enviado a la cuenta de correo electrónico del usuario, o bien a su teléfono móvil en forma de mensaje de tipo SMS.
Sin embargo, las aplicaciones móviles de PayPal para las diferentes plataformas móviles -sistemas operativos Windows Phone, Android e iOS- no soportan, por el momento el sistema 2FA de seguridad, del cual se ha detectado una grave vulnerabilidad que permite acceso a cuentas con este tipo de protección adicional.
El modo avión es capaz de «engañar» a PayPal
Como adelantábamos, las cuentas de PayPal que cuentan con la protección adicional de autenticación en dos pasos no son, por el momento, compatibles con las aplicaciones móviles de PayPal. Lo que ocurre, concretamente, es que cuanto intentamos hacer log in en una cuenta de este tipo, nos saldrá un primer pantallazo de la cuenta abierta, pero en pocos instantes el servidor devuelve una respuesta negativa denegando el acceso. El problema está en que, con sólo activar el «modo avión» durante estos instantes que dura el pantallazo, haremos imposible la respuesta del servidor de PayPal, de forma que, al reactivar la conexión de datos móviles o la conexión inalámbrica de tipo WiFi, habremos accedido sin mayor problema a la cuenta protegida de PayPal y, además, nos habremos saltado la autenticación en dos pasos.
El mayor peligro que tiene esta vulnerabilidad está en que este método de seguridad adicional fue desarrollado y está orientado para denegar el acceso a los que ya han conseguido nuestra contraseña de PayPal, puesto que también necesitarían de acceso a nuestro correo electrónico o nuestro teléfono para poder confirmar la identidad del usuario. Sin embargo, por culpa de este grave fallo de seguridad, una vez que alguien tiene nuestra contraseña de PayPal podrá acceder a nuestra cuenta sin ningún tipo de restricción, es decir, dará exactamente igual que tengamos habilitado el sistema 2FA de autenticación en dos pasos. Así puedes dar de baja tu cuenta de Paypal si piensas que puedes tener problemas de seguridad.