Pensábamos que las aplicaciones de autenticación en dos pasos eran seguras. Los investigadores han demostrado lo fácil que es hackearlos. – Desde dentro

La verificación en dos pasos con aplicaciones de autenticación es una de las formas más seguras de proteger nuestras cuentas, o eso creíamos. ellos cuentan Ars Técnica El un grupo de investigadores de varias universidades americanas han descubierto un nuevo tipo de ataque en Android capaz de copiar estos códigos en menos de 30 segundos, que es exactamente el tiempo que tarda en actualizarse.

Pixnapping. Así se llama este nuevo ataque que puede robar códigos de autenticación de dos factores de aplicaciones como Google Authenticator o Microsoft Authenticator. Estas aplicaciones muestran códigos que se actualizan automáticamente cada 30 segundos, lo que las hace más seguras que, por ejemplo, la verificación por SMS, que normalmente deja entre 10 y 15 minutos para copiar el código. Usando esta técnica, los investigadores lograron descifrar el código de seis dígitos en solo 23 segundos, dejando tiempo suficiente para usar el código e iniciar sesión en la cuenta que quieren robar.

Cómo funciona. Cualquier aplicación en Android puede lanzar un ataque Pixnapping sin necesidad de permisos especiales. Una vez que se produce el ataque, se produce en tres pasos:

• La aplicación maliciosa utiliza las API de Android para comunicarse con la aplicación que quiere espiar. Estas llamadas obligan a la aplicación de destino a mostrar ciertos datos (los códigos de autenticación) y envían esta información al proceso de renderizado de Android, que es responsable de mostrar los píxeles de cada aplicación en la pantalla.
• Pixnapping realiza operaciones gráficas en los píxeles recibidos del proceso de renderizado. Identifique las coordenadas de cada píxel de interés y compruebe si el color es blanco o no blanco.
• Los píxeles blancos tardan menos en renderizarse que los píxeles que no son blancos. Al medir el tiempo, Pixnapping puede reconstruir imágenes a partir de los datos del proceso de renderizado.

La velocidad es clave. Pixnapping también puede recuperar otro tipo de información visible en la pantalla, como números de cuenta o información personal, pero la velocidad a la que se ejecuta lo hace particularmente peligroso para estas aplicaciones de autenticación. Para lograrlo, los investigadores redujeron el número de muestras por píxel, lo que les permitió descifrar los seis dígitos en 30 segundos.

¿Qué teléfonos se ven afectados? Como hemos mencionado, Pixnapping sólo afecta al sistema operativo Android, pero parece extenderse a algunas versiones. La investigación reveló que el ataque podría llevarse a cabo en dispositivos con versiones de Android 13 a Android 16. Solo lo han reproducido en teléfonos Pixel y un Samsung Galaxy S25, pero esperan que todos los dispositivos Android se vean afectados debido al mecanismo de ataque.

Cómo protegerse. Estoy esperando ahora. Google ya ha lanzado un parche hace poco para mitigar este ataque, pero han descubierto que hay formas de evitarlo. En declaraciones sobre El RegistroGoogle confirmó que lanzaría un segundo parche en diciembre para poner fin a esto. La buena noticia es que dicen que no tienen pruebas de que existan aplicaciones que aprovechen esta vulnerabilidad.

Imagen | Pixnapping

En | Un clic y adiós a nuestras contraseñas. Esta es la vulnerabilidad que afecta a múltiples extensiones del administrador