HOY SE HABLA DE

Un grupo de atacantes afirma tener en su poder 33 millones de números de teléfono de usuarios de Authy, la app de 2FA

  • Authy es una de las aplicaciones de autenticación en dos pasos más populares

  • La compañía recomienda actualizar la aplicación y extremar las precauciones para evitar casos de phishing

Authy
Sin comentarios Facebook Twitter Flipboard E-mail
sergio-asenjo

Sergio Asenjo

Ya hemos hablado con anterioridad acerca de Authy, una de las aplicaciones de autenticación en dos pasos (2FA) más populares. Al igual que otras aplicaciones del mismo estilo, Authy se encarga de generar los códigos que tenemos que utilizar para acceder a las plataformas en las que hemos configurado la verificación en dos pasos.

Tal y como hemos podido leer en TechCrunch, la compañía responsable de la aplicación (Twilio) ha publicado un comunicado en su página web en el que afirma que un grupo de atacantes ha logrado identificar datos asociados a las cuentas de usuario de Authy, incluyendo los números de teléfono.

ShinyHunters afirma tener en su poder 33 millones de números de teléfono asociados a Authy

Al parecer, el grupo responsable es ShinyHunters, que recientemente se atribuía también la responsabilidad del ataque a Ticketmaster del que hablamos a principios del pasado mes de junio. Apenas unos días antes de que Twilio publicase el comunicado en su página web, ShinyHunters afirmaba en un foro tener un listado de 33 millones de teléfonos de usuarios de Authy.

Llevo años usando una llave de seguridad para reforzar la seguridad de mis cuentas y evitar el phishing
En Xataka Móvil
Llevo años usando una llave de seguridad para reforzar la seguridad de mis cuentas y evitar el phishing

Según leemos en el comunicado publicado por la compañía, Twilio afirma que los responsables lograron identificar datos asociados a las cuentas de Authy, incluyendo los números de teléfono de los usuarios. Al parecer, consiguieron identificar los números asociados a la aplicación explotando un endpoint no autenticado.

Tal y como explican desde Bleeping Computer (un medio de comunicación especializado en ciberseguridad), ShinyHunters alimentó la API con un listado de números de teléfono obtenido por otros medios. Al introducir un número válido (es decir, un número de teléfono asociado a Authy), la API confirmaba que el número era válido, lo que permite saber que ese número está registrado en la aplicación.

Twilio ha confirmado que ya ha solucionado el problema, pero advierte que quien tenga los números de teléfono en su poder podría utilizarlos para realizar ataques de phishing. La compañía explica que no hay evidencias que indiquen que los sistemas de Twilio se hayan visto comprometidos.

Si eres usuario de Authy, la compañía recomienda actualizar la app (disponible tanto en iOS como en Android) para obtener las últimas mejoras de seguridad. Además, es importante extremar las precauciones en caso de recibir algún mensaje de texto sospechoso a lo largo de los próximos meses.

Vía | TechCrunch y Bleeping Computer

Imagen de portada | Xataka Móvil

En Xataka Móvil | Adiós al 123456, tu móvil puede ayudarte a crear (y recordar) contraseñas fuertes. Así se hace

Temas

Ver 0 comentarios

Temas de interés
Subir

Tecnología

Videojuegos

Entretenimiento

Gastronomía

Estilo de vida

Ediciones Internacionales

Inicio

Destacamos

Explora en nuestros medios