Twilio ha lanzado una actualización crítica para su aplicación Authy, utilizada para la autenticación de dos factores (2FA), tras descubrir una vulnerabilidad que permitía a actores malintencionados identificar números de teléfono asociados con cuentas de Authy a través de un punto de acceso no autenticado.
En un comunicado reciente, Twilio informó que los atacantes lograron acceder a datos relacionados con las cuentas de Authy, específicamente los números de teléfono, aprovechando un punto de acceso no autenticado. La empresa ha actuado de inmediato para asegurar dicha vulnerabilidad y ha deshabilitado las solicitudes no autenticadas. No obstante, recomienda encarecidamente a todos los usuarios de Authy que actualicen a las versiones más recientes de las aplicaciones para Android y iOS.
A pesar de que no se ha encontrado evidencia de que otros datos sensibles de Twilio hayan sido comprometidos, la compañía alerta que los números de teléfono asociados podrían ser utilizados en ataques de phishing y smishing. De igual manera, insta a los usuarios a ser más precavidos con los mensajes de texto que reciben y a actualizar sus aplicaciones lo antes posible.
Kari Ramirez, portavoz de Twilio, declaró a TechCrunch: «Hemos detectado que actores malintencionados pudieron identificar datos asociados con cuentas de Authy, incluidos los números de teléfono, debido a un punto de acceso no autenticado. Hemos tomado medidas para asegurar este punto de acceso y ya no permitimos solicitudes no autenticadas. Como precaución, solicitamos a todos los usuarios de Authy que actualicen a las últimas versiones de las aplicaciones de Android y iOS para beneficiarse de las últimas actualizaciones de seguridad y alentamos a todos los usuarios a estar atentos a posibles ataques de phishing y smishing».
Contextualmente, la semana pasada, un hacker conocido como ShinyHunters afirmó haber robado 33 millones de números de teléfono de Twilio. Aunque en principio una lista de números de teléfono podría no parecer extremadamente peligrosa, representa una amenaza significativa. Los atacantes podrían hacerse pasar por Authy o Twilio, aumentando la credibilidad de sus ataques de phishing dirigidos a esos números. Rachel Tobac, experta en ingeniería social y CEO de SocialProof Security, destacó que ahora los hackers pueden dirigirse específicamente a los usuarios de Authy, haciendo que sus mensajes maliciosos parezcan legítimos.
La rapidez con la que Twilio respondió para asegurar el punto de acceso y la recomendación de actualizar las aplicaciones de Authy subrayan su compromiso con la seguridad de los usuarios. Es esencial que los usuarios sigan estas recomendaciones para proteger sus cuentas y mantenerse alertas frente a posibles ataques de phishing y smishing.
