No crea todo lo que lea, especialmente cuando es parte de un campo de marketing diseñado para vender servicios de seguridad. El último ejemplo de la exageración fugitiva que puede provenir de tales lanzamientos es la investigación publicada hoy por Squarex, una startup que vende servicios para asegurar navegadores y otras aplicaciones del lado del cliente. Afirma, sin base, haber encontrado una «gran vulnerabilidad de PassKey» que socava las elevadas promesas de seguridad hechas por Apple, Google, Microsoft y miles de otras compañías que han adoptado con entusiasmo las veras pasas. Ahoy, la palma de cara «Passkeys Pwned», el ataque descrito en la investigación, se demostró a principios de este mes en una presentación de Defcon. Se basa en una extensión maliciosa del navegador, instalada en un ataque de ingeniería social anterior, que secuestra el proceso para crear una clave de pasaje para usar en Gmail, Microsoft 365 o cualquiera de los otros miles de sitios que ahora usan la forma alternativa de autenticación. Detrás de escena, la extensión permite que se cree un KeyPair y lo une al dominio legítimo de Gmail.com, pero el KeyPair es creado por el malware y controlado por el atacante. Con eso, el adversario tiene acceso a aplicaciones en la nube que las organizaciones usan para sus operaciones más sensibles. «Este descubrimiento rompe el mito de que los pases de pasas no pueden ser robados, lo que demuestra que el» robo de pases «no solo es posible, sino tan trivial como el robo de credenciales tradicionales», escribieron los investigadores de Squarex en un borrador de la versión del trabajo de investigación del jueves que me envió. «Esto sirve como una llamada de atención que, mientras que los pases de pasas parecen más seguras, gran parte de esta percepción proviene de una nueva tecnología que aún no ha pasado por décadas de investigación de seguridad y prueba por incendio».
Deja una respuesta