NinjaLab, una empresa de investigación de seguridad, ha descubrió una vulnerabilidad eso permitiría a los malos actores clonar YubiKeys. Tal y como ha explicado la compañía en un aviso de seguridadNinjaLab encontró una vulnerabilidad en la biblioteca criptográfica utilizada en la serie YubiKey 5. En particular, encontró una falla criptográfica en el microcontrolador, que los investigadores de seguridad describieron como algo que “genera/almacena secretos y luego ejecuta operaciones criptográficas” para dispositivos de seguridad como tarjetas bancarias y tokens de hardware FIDO. YubiKeys son las claves de autenticación FIDO más conocidas y se supone que hacen que las cuentas sean más seguras, ya que los usuarios tendrían que conectarlas a sus computadoras antes de poder iniciar sesión.
Los investigadores explicaron cómo descubrieron la vulnerabilidad porque encontraron una plataforma abierta basada en la biblioteca criptográfica de Infineon, que utiliza Yubico. Confirmaron que todos los modelos de YubiKey 5 se pueden clonar y también dijeron que la vulnerabilidad no se limita a la marca, aunque aún tienen que intentar clonar otros dispositivos.
Aparentemente, esa vulnerabilidad ha pasado desapercibida durante 14 años, pero sólo porque haya salido a la luz no significa que alguien pueda explotarla para clonar YubiKeys. Para empezar, los malos actores necesitarán tener acceso físico al token que quieren copiar. Luego, tienen que desmontarlo y utilizar equipos costosos, incluido un osciloscopio, para “realizar mediciones electromagnéticas de canal lateral” necesarias para analizar el token. En la casa de los investigadores papeldijeron que su instalación les costó alrededor de 11.000 dólares y que el uso de osciloscopios más avanzados podría aumentar el coste de la instalación a 33.000 dólares. Además, es posible que los atacantes aún necesiten los PIN, contraseñas o datos biométricos de su objetivo para poder acceder a cuentas específicas.
La conclusión es que los usuarios que forman parte de agencias gubernamentales o cualquier persona que maneje documentos muy, muy confidenciales que podrían convertirlos en objetivos de espionaje tendrían que tener mucho cuidado con sus claves. Para los usuarios comunes, como escribieron los investigadores en su artículo, “aún es más seguro usar YubiKey u otros productos afectados como token de autenticación de hardware FIDO para iniciar sesión en aplicaciones en lugar de no usar uno”.