GitHub hace que la autenticación de dos factores sea obligatoria

Para evitar que los piratas informáticos alteren la cadena de suministro de software, GitHub obligará a los usuarios a adoptar la autenticación de dos factores (2FA) a partir del 13 de marzo.

El requisito se implementará primero en pequeños grupos de usuarios antes de que GitHub lo escale a más personas a medida que avanza el año. El objetivo es hacer que el requisito 2FA sea obligatorio para todos los usuarios antes de finales de 2023.

“Si se selecciona su cuenta para la inscripción, se le notificará por correo electrónico y verá un banner en GitHub.com que le pedirá que se inscriba”, escribió la compañía en una publicación de blog.(Se abre en una nueva ventana) el jueves. «Tendrá 45 días para configurar 2FA en su cuenta; antes de esa fecha, nada cambiará sobre el uso de GitHub, excepto los recordatorios».

Aviso de GitHub 2FA (Crédito: GitHub)

GitHub anunció originalmente el requisito 2FA el año pasado, citando la amenaza de que los piratas informáticos ataquen la cadena de suministro de software. GitHub, propiedad de Microsoft, es mejor conocido como una plataforma de depósito de código, donde los desarrolladores pueden publicar y contribuir a proyectos de software de código abierto e integrarlos en sus propios productos.

Desde entonces, GitHub ha atraído a más de 100 millones de desarrolladores en todo el mundo. Pero la plataforma es un blanco propicio para el abuso. Por ejemplo, un pirata informático podría alterar un proyecto de codificación popular en GitHub y hacer que cargue malware en secreto en una computadora. Los desarrolladores de software podrían, sin darse cuenta, hacer que el código malicioso se propague incorporándolo a sus propios productos.

Además, un pirata informático podría entrar en la cuenta de un desarrollador de GitHub para robar código en software propietario. “Las cuentas de los desarrolladores son objetivos frecuentes para la ingeniería social y la apropiación de cuentas, y proteger a los desarrolladores de este tipo de ataques es el primer paso y el más crítico para asegurar la cadena de suministro”, escribió Mike Hanley, director de seguridad de GitHub.(Se abre en una nueva ventana) En Mayo.

2FA (también conocido como autenticación multifactor) puede obstaculizar a los piratas informáticos, ya que obliga a cualquiera que inicie sesión en una cuenta a proporcionar tanto la contraseña correcta como un código de acceso único generado en el teléfono del titular de la cuenta original. Esto puede hacer que sea más difícil, pero no imposible, que un atacante ingrese.

Usuarios de GitHub que buscan activar el 2FA(Se abre en una nueva ventana) antes del 13 de marzo pueden ir a la configuración de su cuenta. La plataforma ofrece 2FA a través de una aplicación de autenticación, una clave de seguridad y por SMS, aunque GitHub recomienda encarecidamente a los usuarios que abandonen la opción de SMS. A lo largo de los años, los piratas informáticos han demostrado que pueden robar el código de acceso único generado por SMS al realizar ataques de intercambio de SIM en el número de teléfono de la víctima. Si lo hace, puede permitir que un hacker intercepte llamadas telefónicas y mensajes SMS enviados al dispositivo.

Aún así, GitHub decidió mantener el 2FA basado en SMS como una opción para los usuarios preocupados por el bloqueo de sus cuentas. La plataforma agregó: “Ahora puede tener una aplicación de autenticación (TOTP) y un número de SMS(Se abre en una nueva ventana) registrado en su cuenta al mismo tiempo. Si bien recomendamos usar claves de seguridad y su aplicación TOTP a través de SMS, permitir ambos al mismo tiempo ayuda a reducir el bloqueo de la cuenta al proporcionar otra opción 2FA accesible y comprensible que los desarrolladores pueden habilitar”.