Google confirma una vulnerabilidad en su llave de seguridad Titan

La llave de seguridad Titan, el dispositivo USB de Google que permite iniciar sesión sin contraseña y prevenir el robo de credenciales en nuestro ordenador, parece que no es un dispositivo tan seguro como se había promocionado.

Google acaba de informar que se han visto obligados a retirar la llave de seguridad Titan debido a un fallo que podría permitir que un atacante que se encontrara cerca de nuestra red pueda eludir la seguridad de dicha llave.

Los de Mountain View aclaran que el error se debe a una mala configuración de los protocolos de emparejamiento de Bluetooth de las llaves de seguridad Titan, aunque aclaran que las llaves defectuosas aún protegen contra los ataques phishing. En todo caso están proporcionando una llave de seguridad de reemplazo totalmente gratuita a todos los usuarios afectados.

Para que el error sea explotado, un atacante tendría que estar dentro del alcance del Bluetooth que suelen ser unos 9 o 10 m, y al mismo tiempo actuar de manera muy rápida y precisa. Los atacantes podrían hacer uso del protocolo mal configurado para conectar su propio dispositivo a la llave antes de que se conecte al ordenador del usuario. Con eso, y asumiendo de que ya tendrían el nombre de usuario y contraseña de la víctima, podrían iniciar sesión.

El atacante también podría explotar este error al usar su propio dispositivo y enmascararlo como su llave de seguridad. Al hacer esto, los atacantes pueden cambiar el dispositivo para que sea reconocido como un teclado o ratón, y así controlar tu ordenador.

En todo caso es bastante complicado que esto pueda suceder, dado que el atacante debe conocer las credenciales y ser bastante ágil al respecto, pero evidentemente nadie quiere tener una llave de seguridad que no es del todo segura.

Desde Google aclaran que este problema no afecta a la misión principal de la existencia de esta llave de seguridad que es la de protegerse contra los ataques phishing, e incluso argumenta que los usuarios deben seguir usando las llaves hasta que obtengan un reemplazo.

De momento la llave de seguridad Titan de Google no ha empezado con muy buen pie, y veremos si a partir de ahora el público confía en un dispositivo que tampoco les asegura una protección total.