@xoj No es un sistema perfecto, cuando hice el Grado medio y la asignatura de seguridad el profesor explico que no es un sistema seguro, es posible obtener el código de confirmación o aceptar la confirmación de google sin necesidad del usuario.
La confirmación de google es solo el móvil con un SI o un NO, pero si tras unos segundos no pulsas nada te da alternativas como mail o código SMS, es fácil hackear el SMS o el mail si han llegado a la confirmación en dos pasos y buala, en el móvil queda la confirmación pero ya te han entrado y sacado lo que querían.
En el caso del autenticador es un número de seis cifras, probando aleatoriamente hay una probabilidad muy baja pero es posible hackear el autenticador y saltarse la seguridad. Que de hecho buscándolo te salen tutoriales y todo (flipo).
Igual ya dije que gracias a GOOGLE y FACEBOOK mi mail está muy comprometido y la contraseña que usaba antes también así que es normal que me haya pasado.
En fin, me han accedido a casi todo básicamente.
- Outlook: Fue el primero con autentificacion de dos pasos. Simplemente mandaba spam de viagra a todo el mundo.
- Facebook: Con lo último que ha salido no me extraña que hackearan con facilidad.
- Epic: Lograron saltarse el inicio en dos pasos y Epic no quiso hacer nada por solucionarlo así que pedí que borraran la cuenta y encima se disculparon por que me fuera. VENGA YA.
- Uplay: Lograron saltarse el inicio en dos pasos y Ubisoft bloqueo la cuenta e investigaron el problema, aun así poco después me dejaron un link para restablecer la contraseña. De todas formas me volvieron a acceder meses después nuevamente saltando la seguridad en dos pasos y el mes pasado lo volvieron hacer. Con cambiar la contraseña basta para unos meses pero eso es todo y siempre el ataque es desde diferentes IPs del mundo. Supongo van probando hasta dar con una contraseña que da por válida y luego el BOT intenta y re-intenta miles de veces.
En la cuenta de EPIC solo tenia el UDK y en Uplay solo los juegos gratuitos que han dado. Outlook me jodió bastante ya que también enviaba a empresas donde había trabajado y se molestaron y Facebook bueno, aparecían publicaciones con spam y enviaba mensajes a desconocidos con spam, seguramente links para infectar a otros.
Yo creo que la mejor seguridad seria usar el lector de huellas del Smartphone, se ha demostrado que no es imposible falsificar eso pero es más complicado. Yo que se, nada es seguro.
Llegados a este punto es necesario señalar que esta no es ni remotamente la primera vez que Google permite utilizar el teléfono móvil como método de identificación, pero intentos anteriores eran menos seguros. El nuevo sistema se basa en las tecnologías FIDO y WebAuthn, mucho más robustas que los códigos de verificación por SMS (secuestrables y excesivamente dependientes de la cobertura), y así como la extendida pantalla de verificación Google Prompt resulta práctica, no siempre es segura o estable.![[looco]](/images/smilies/nuevos2/borracho.gif "loco")
