Google está retirando la versión Bluetooth de sus llaves de seguridad Titan Security Keys al detectarse un fallo de seguridad en el estándar Bluetooth Low Energy (BLE).

Google ha iniciado un programa de reemplazo por el que sustituirá gratuitamente este tipo de unidades Titan Bluetooth que tienen una «T1» o «T2» en la parte posterior. La vulnerabilidad no afecta al resto de modelos, ni tampoco al propósito principal de las claves de seguridad, que es proteger contra la suplantación de identidad por parte de un atacante remoto.

Aunque no es sencilla de explotar, porque un atacante tendría que encadenar una serie de eventos coordinados, es de la suficiente gravedad como para reemplazarlas, especialmente si tenemos en cuenta que se trata de un dispositivo preparado precisamente para aumentar la seguridad.

«Debido a una mala configuración en los protocolos de emparejamiento de Bluetooth con las Titan Security Key, es posible que un atacante que se encontrar físicamente cerca de un usuario, en el momento en que use su clave de seguridad (a aproximadamente 30 pies) se pueda comunicar con la llave de seguridad o con el dispositivo con el que la clave está emparejada», explican desde Google.

Para determinar si tu dispositivo está afectado, revisa la parte posterior de la clave. Si tienes un «T1» o «T2» en la parte posterior la llave está afectada y es elegible para el reemplazo gratuito.

Titan Security Key están disponible en formato USB o interfaz Bluetooth, y de forma similar a productos competidores como Yubico y Feitian, utilizan el protocolo aprobado por alianza FIDO, lo que significa que son compatibles con casi cualquier servicio que soporte la característica de Autenticación de Segundo Factor Universal. La primera es para usarla con el ordenador, mientras que la inalámbrica es compatible con cualquier dispositivo que soporte el protocolo.

El uso principal de este tipo de llaves físicas es la autentificación de procesos de inicio de sesión. Se mejora la seguridad así respecto a la autenticación en dos pasos (el clásico SMS que te envía el banco para validar una operación), las tarjetas de coordenadas y, por supuesto, la clásica combinación de usuario y contraseña.

Utilizar Bluetooth en estos dispositivos los hace muy cómodos de usar, pero parece que incluso la gran G no puede hacer que los dispositivos sean lo suficientemente seguros como para usarlos de manera inalámbrica. Ya lo advirtieron, por cierto, expertos en seguridad. Mejor usar las versiones USB. Más información | Google