\n<\/p>\n
Twilio ha anunciado que los usuarios de Authy, que conf\u00edan en la aplicaci\u00f3n de autenticaci\u00f3n multifactor (MFA) para generar c\u00f3digos de acceso de un solo uso, se vieron comprometidos durante una violaci\u00f3n de datos reciente.<\/p>\n
la empresa dijo(Se abre en una nueva ventana)<\/span> el 7 de agosto que una exitosa campa\u00f1a de phishing contra sus empleados le dio acceso a un pirata inform\u00e1tico a los sistemas internos que luego se usaron para \u00abacceder a ciertos datos de los clientes\u00bb. Twilio dijo el 10 de agosto que cre\u00eda que 125 de sus clientes se vieron afectados por la filtraci\u00f3n. Ahora ese n\u00famero ha aumentado a 163 clientes, y eso no incluye a los usuarios de Authy comprometidos.<\/p>\n Twilio dice que su \u00abinvestigaci\u00f3n identific\u00f3 que los actores maliciosos obtuvieron acceso a las cuentas de 93 usuarios individuales de Authy, de un total de aproximadamente 75 millones de usuarios, y registraron dispositivos adicionales en sus cuentas\u00bb. Tambi\u00e9n dice que \u00abdesde entonces identific\u00f3 y elimin\u00f3 dispositivos no autorizados de estas cuentas de Authy\u00bb y se comunic\u00f3 con los usuarios afectados.<\/p>\n La compa\u00f1\u00eda ha aconsejado a esos usuarios que revisen las cuentas vinculadas a Authy en busca de actividad sospechosa, verificando todos los dispositivos conectados a su cuenta de Authy y deshabilitando la configuraci\u00f3n \u00abPermitir dispositivos m\u00faltiples\u00bb dentro de la aplicaci\u00f3n. Las primeras dos recomendaciones podr\u00edan ayudar a minimizar el impacto de este compromiso; la \u00faltima recomendaci\u00f3n est\u00e1 destinada a reducir el riesgo de futuros incidentes.<\/p>\n Notas de Twilio en un art\u00edculo de soporte(Se abre en una nueva ventana)<\/span> que \u00abPermitir varios dispositivos\u00bb est\u00e1 habilitado de forma predeterminada para que los usuarios de Authy puedan mantener el acceso a sus tokens MFA si su dispositivo se pierde, se lo roban o no est\u00e1 disponible. La compa\u00f1\u00eda tambi\u00e9n destaca la capacidad de crear estas copias de seguridad (o simplemente acceder a tokens en m\u00faltiples dispositivos sin repetir un proceso de configuraci\u00f3n) en una comparaci\u00f3n.(Se abre en una nueva ventana)<\/span> al Autenticador de Google. <\/p>\n El problema, como demostr\u00f3 esta infracci\u00f3n, es que la sincronizaci\u00f3n de tokens en varios dispositivos pone en riesgo a los usuarios de Authy, y el enfoque de Twilio para deshabilitar esta funci\u00f3n es algo complicado: <\/p>\n Authy deshabilitar\u00e1 autom\u00e1ticamente Multidispositivo cuando detecte que ha agregado una aplicaci\u00f3n de Authy a m\u00e1s de un dispositivo. A\u00fan podr\u00e1 acceder a su cuenta desde todas las instalaciones existentes, pero deber\u00e1 habilitar manualmente varios dispositivos para agregar otro dispositivo. Una vez que se vuelve a habilitar, Authy recuerda esta opci\u00f3n y no la volver\u00e1 a deshabilitar. Recomendamos a los usuarios que mantengan la funci\u00f3n multidispositivo desactivada cuando no deseen agregar dispositivos adicionales a su cuenta como un paso de seguridad adicional.<\/p>\n<\/blockquote>\n Este enfoque podr\u00eda ser contraproducente de m\u00faltiples maneras. Es posible que los usuarios de Authy que nunca configuraron la aplicaci\u00f3n en otro dispositivo no se den cuenta de que \u00abPermitir varios dispositivos\u00bb est\u00e1 habilitado de manera predeterminada, y es posible que los usuarios que vuelvan a habilitar la configuraci\u00f3n tampoco recuerden deshabilitarla m\u00e1s tarde. (Estos desaf\u00edos probablemente explican por qu\u00e9 Google Authenticator dificulta la configuraci\u00f3n(Se abre en una nueva ventana)<\/span> m\u00faltiples dispositivos tan engorrosos como lo hace).<\/p>\n \u00abLa confianza es primordial en Twilio, y reconocemos que la seguridad de nuestros sistemas y redes es una parte importante para ganar y mantener la confianza de nuestros clientes\u00bb, dice Twilio. \u00abA medida que continuamos con nuestra investigaci\u00f3n, nos comunicamos con los clientes afectados para compartir informaci\u00f3n y ayudarlos en sus propias investigaciones. Actualizaremos este blog con m\u00e1s informaci\u00f3n a medida que est\u00e9 disponible\u00bb.<\/p>\n Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\nRecomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n
\n
\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n