Paypal es la herramienta de pago por Internet más utilizada en todo en planeta. No en vano, son muchísimos los usuarios que la usan a diario, y el número de cuentas aumenta a cada segundo que pasa. La seguridad es esencial para que todo funcione correctamente y, sobre todo, para que no haya robos. La plataforma ya ha tenido algún que otro problema, por lo que no han dudado en poner nuevas herramientas que garanticen el dinero de los registrados, como la autenticación en dos pasos.
Para que sepáis en qué consiste, cuando la activamos, cada vez que queremos iniciar sesión en nuestra cuenta, el sistema nos envía un mensaje de texto para comprobar que de verdad somos nosotros. En un principio, una medida infalible, pero que no ha servido ante el ataque de un hacker que ha conseguido vulnerarlo, y al que ya podemos ponerle nombre y apellido: Joshua Rogers.
No os asustéis. Si hubiera sido otro caso, no nos extrañaría que se hubiera aprovechado el fallo para entrar en cuentas de todo tipo. Afortunadamente, Rogers es un hacker de sombrero blanco, lo que quiere decir que no ha hecho pública la vulnerabilidad hasta que no ha pasado un cierto tiempo. El error era encontrado en junio de este año, por lo que el chico avisó a la propia Paypal y le informó de que tenían un sistema inseguro, que podía poner en peligro a sus clientes.
¿Cómo se vulnera?
La verdad es que la manera de atacar con éxito a la autenticación en dos pasos de Paypal es relativamente sencilla. Según ha explicado el (hasta ahora) desconocido hacker, sólo es necesario manejar una cookie del navegador. Concretamente, cuando la "galleta" de la función está activa, podríamos decir que el paso más grande ya se ha realizado. Sólo queda conseguir las credenciales del usuario al que queramos entrar para poder acceder a la cuenta.
La cookie que se tendría que buscar en este caso se identifica con el valor =_integrated-registration. Fácil ¿verdad? Como podéis comprobar, una medida de seguridad que cuesta millones ha sido vulnerada con una sencillez tremenda, por lo que Paypal tendrá que ponerse a trabajar lo antes posible para corregirla. Quién sabe, puede que incluso se vean obligados a implementar una característica más eficaz.
Lo que no sabemos es si el mismo fallo podrá aprovecharse en otros sitios web que también lo tienen integrado. Algo que, por supuesto, no hemos probado, pero que quizá podría aplicarse con algunas modificaciones.
Paypal ya lo sabe, pero no lo ha arreglado
Está claro que nada más encontrar la vulnerabilidad Joshua se puso en contacto con Paypal para hacerles saber lo que tenían en sus servidores. Un fallo de seguridad grave, por lo que la empresa debería haberse puesto a arreglarlo lo antes posible. Pero la verdad es que la compañía no ha hecho mucho caso al email enviado.
El contenido que han podido leer es el siguiente:
Una vez que estamos conectados, se establece una cookie con nuestros datos, y somos redirigidos a una página para confirmar los detalles del proceso. Es en este momento donde la vulnerabilidad se puede aprovechar. Sólo tenemos que cargar http://www.paypal.com/ y, al haber iniciado sesión, no es necesario que se vuelvan a introducir las credenciales. La realidad es que la función =_integrated-registration no comprueba el código que se ejecuta en la autenticación en dos pasos, aunque hayamos iniciado sesión en Paypal. El proceso puede repetirse utilizando la misma función las veces que queramos.
Como ya hemos dicho, Paypal ha hecho caso omiso. Sin ir más lejos, tal y como podemos leer en el blog del propio hacker, la vulnerabilidad sigue estando activa, lo que significa que la podemos poner en práctica cuando queramos. Lo más sorprendente es que la empresa no se haya puesto manos a la obra con el fin de solucionarla. Lo único que han hecho ha sido deshabilitar la función para que los usuarios no puedan utilizarla.
Qué hacer
Teniendo en cuenta que la autenticación en dos pasos es una de las medidas de seguridad más importantes del sistema, la vulnerabilidad es grave. Es cierto que debemos tener las credenciales de la cuenta a la que queremos acceder pero, una vez las consigamos, algo que no es difícil, podremos saltarnos la función de una manera relativamente sencilla.
Por el momento, tendremos que esperar hasta que Paypal arregle el desaguisado. Y tenemos esperanza en que no tarden mucho. No en vano, mientra no lo hagan estarán exponiendo a sus usuarios a un posible robo de dinero. ¡Daos prisa!
Vía | Ars Technica
Más información | Just Another Security Blog
Imagenes | methodshop .com y MichaelMaggs
En Genbeta | Paypal cuestiona la legalidad de ProtonMail y congela su cuenta
Ver 14 comentarios