Un fallo en PayPal permitía saltarse su autenticación en dos pasos

Software

Cada vez más, las compañías de Internet –especialmente entidades bancarias- recomiendan a sus usuarios utilizar la autenticación en dos factores para aumentar la seguridad sobre sus cuentas. Este proceso, dependiente de una contraseña y también un código de un único uso, es el que permite impedir que alguien sabiendo la contraseña acceda, pues necesita también acceso físico a nuestro smartphone. Sin embargo, PayPal ha mantenido un grave fallo de seguridad que permitía saltárselo.

El sistema de autenticación en dos pasos –o dos factores-, como ya explicábamos, consiste en introducir la contraseña en un primer tiempo, y después, introducir un código de un único uso que es enviado al número de teléfono vinculado a la cuenta a través de SMS. De esta manera, en teoría, sólo alguien que sepa la contraseña y tenga acceso físico al dispositivo móvil podría acceder a la cuenta. Pero el problema de PayPal es que permitía modificar a cabecera de la petición para entrar sin introducir el código. En RedesZone explican que era tan sencillo como eliminar securityQuestion0 y securityQuestion1, y acceder sin el código único.

Robo datos bancarios

PayPal ha solucionado un grave problema de seguridad

El problema de seguridad no se conoce con precisión durante cuánto tiempo ha estado disponible. En cualquier caso, y según han explicado en la investigación correspondiente, este agujero de seguridad es lo que ha permitido que la autenticación en dos factores no sirva de absolutamente nada. Hay una cuestión importante, y es que a pesar de que alguien tuviera nuestra contraseña no habría podido acceder sin ciertos conocimientos técnicos. Al fin y al cabo, como comentábamos, era necesaria la contraseña de inicio de sesión y, por otro lado, modificar la cabecera para impedir las instrucciones de verificación del proceso de seguridad.

Este problema, por otro lado, según lo detalles que se han ofrecido estuvo disponible únicamente para el inicio de sesión desde el navegador web en escritorio. Es decir, que en teléfonos inteligentes no se permitía acceso ilegítimo siguiendo ningún procedimiento similar. En teléfonos inteligentes, de todos modos, es posible también configurar el acceso y uso con huella dactilar, que a priori debería ser incluso más seguro que la autenticación en dos pasos. No obstante, el problema ya se ha resuelto y, según información oficial, el sistema de autenticación en dos factores para el inicio de sesión y uso de la cuenta es completamente fiable.

Escrito por Carlos González

Fuente > ADSLZone

Continúa leyendo
  • Daniel Fernández Collado

    A mi me paso el lunes pasado…me hicieron una compra no autorizada desde Francia,por suerte llame a paypal cuanto me llego el email de la transaciion pendiente y me solucionaron el problema contactando con el vendedor y anulando esa transaccion no autorizada