Los YubiKeys se utilizan ampliamente en sistemas de autenticación multifactor para proteger cuentas sensibles. La idea es que acceder a tu cuenta bancaria o servidores corporativos requeriría posesión física del dispositivo, lo cual es mucho más seguro que una contraseña que puede ser phishingada.
Los YubiKeys son dispositivos FIDO que emplean el Algoritmo de Firma Digital de Curva Elíptica (ECDSA). NinjaLab, un grupo de investigadores de seguridad, realizó ingeniería inversa en parte de la biblioteca criptográfica de ECDSA y diseñó un ataque por canal lateral que explota esta vulnerabilidad.
¿Cómo es el proceso de clonación de la YubiKey?
Para clonar un YubiKey, un atacante necesitaría varias horas, conocimientos técnicos avanzados y un osciloscopio. NinjaLab desmontó un YubiKey, lo conectó a un osciloscopio y midió las fluctuaciones electromagnéticas emitidas durante la autenticación para desarrollar el ataque. La vulnerabilidad afecta a todos los YubiKey 5 con firmware 5.7 o inferior y a «todos los microcontroladores de seguridad Infineon que utilizan la biblioteca de seguridad criptográfica Infineon.»
Yubico, la empresa detrás de YubiKey, publicó un informe detallado sobre la vulnerabilidad en su sitio web. Explicaron que un atacante necesitaría posesión física del YubiKey, así como equipo especializado para llevar a cabo el ataque. Dependiendo del caso, también podrían necesitar información adicional como el nombre de usuario, PIN o contraseña de cuenta.
El costo de llevar a cabo este ataque es alto. NinjaLab estimó que el equipo necesario costaría alrededor de $10,000, con un posible aumento de otros $30,000 si se usa un osciloscopio más avanzado.
Aunque esta vulnerabilidad podría extenderse a otros sistemas que utilicen el mismo microcontrolador que el YubiKey 5, NinjaLab aún no ha probado otros productos. Los microcontroladores afectados están presentes en una variedad de sistemas seguros, incluyendo pasaportes electrónicos y billeteras de criptomonedas, así como en automóviles y casas inteligentes.
NinjaLab subrayó que explotar esta vulnerabilidad requiere recursos significativos, y a pesar de los riesgos, sigue siendo más seguro usar un YubiKey u otros dispositivos de autenticación FIDO para proteger el acceso a aplicaciones en comparación con no usar ninguna medida de seguridad adicional.
En resumen, aunque la vulnerabilidad descubierta es seria, la complejidad y el costo del ataque limitan su viabilidad para la mayoría de los usuarios. Sin embargo, es crucial estar al tanto de estas amenazas y continuar utilizando medidas de seguridad robustas.
Este artículo ha sido traducido de Gizmodo US por Lucas H. Aquí podrás encontrar la versión original.