Se ha descubierto un método que puede ser utilizado para evadir el mecanismo de doble autenticación de PayPal, implementado para otorgarle a los clientes una capa adicional de protección en el proceso de login en sus cuentas.

Security Key, el sistema de doble autenticación que utiliza la popular plataforma de transferencia de dinero estadounidense, tiene como función principal asegurar que no se acceda a una cuenta si sus credenciales cayeron en las manos equivocadas. De esta forma se previene el acceso indebido, que en muchas ocasiones se da porque los usuarios reutilizan nombres de usuario y contraseñas en distintos sitios, y los cibercriminales los obtienen accediendo a bases de datos.

Los investigadores de Escalate Internet encontraron que el mecanismo de PayPal puede ser evadido a través del sistema Adaptive Payments, que permite hacer pagos entre un emisor y uno o más receptores, de forma que las operaciones se manejen en escenarios simples o complejos. Las compañías que lo usan necesitan que los usuarios conecten su cuenta de PayPal a una aplicación, para lo cual son redirigidos al sitio de la plataforma de pagos para que ingresen sus credenciales de acceso. Una vez hecho esto, el usuario queda logueado directamente en PayPal sin haber tenido la necesidad de ingresar el código de doble autenticación o contraseña de un solo uso (One Time Password u OTP en inglés).

Así, la utilización de Adaptive Payments deja la puerta abierta a que se saltee el proceso de doble autenticación, ya que redirige el login directamente al sitio de PayPal sin pedir un OTP.

"En la superficie esto no parece ser una gran amenaza a la seguridad porque no estás necesariamente enviando dinero a nadie, sino que simplemente te estás conectando a una aplicación en su sistema Adaptive Payments. Sin embargo, luego de loguearte con sólo tu dirección de correo electrónico y contraseña en esta página, estás totalmente autenticado. Esto significa que puedes ir simplemente a PayPal.com y ser logueado automáticamente a tu cuenta -¡con la autenticación de dos pasos siendo 100% evadida!", dice la publicación de Escalate Internet.

Desde PayPal, aseguraron al sitio Security Week que se está trabajando en una solución al inconveniente para subsanarlo tan pronto como sea posible. El mes pasado, se había descubierto una vulnerabilidad en la validación de la aplicacación web de un portal interno que utiliza el personal de PayPal para revisar la información de los usuarios, por lo cual no es la primera vez que la compañía se enfrenta a un incidente de seguridad.

¡No es la primera vez!

Un método similar que puede ser utilizado para eludir la doble autenticación de PayPal fue descubierto por el investigador australiano Joshua Rogers. En este caso, lo necesario es conectar la cuenta de PayPal con una de eBay, lo cual facilita el proceso de compraventa de los usuarios de esta última plataforma: cuando venden algo a través de eBay, los cargos (por ejemplo, impuestos) se descuentan automáticamente de la cuenta de PayPal.

Según publicó Rogers, esto funciona incluso sin una cuenta de eBay: los usuarios pueden ir directamente al sitio de PayPal para conectar las cuentas y la evasión es entonces exitosa. Así, un atacante podría acceder a la cuenta y hacer todo lo que un usuario regular puede hacer, como enviar dinero, cambiar configuraciones o incluso la contraseña de acceso.

El motivo por el que esto funciona es que PayPal asume que al haberse utenticado a través de eBay, la cuenta debe ser de la misma persona. Al enlazar las cuentas, se crea una cookie que permite a la aplicación de PayPal asegurar que el usuario inició sesión, a pesar de no haber ingresado el código normalmente requerido durante la doble autenticación.

Recordemos que en mayo, eBay había sufrido una brecha de seguridad, luego de que un ciberataque comprometiera su base de datos que contiene claves cifradas y otra información no financiera.