Alerta de Seguridad: Actualización de la App Authy para Android (v25.1.0) y iOS (v26.1.0)

Twilio ha emitido una actualización crítica para su aplicación Authy, utilizada para la autenticación de dos factores (2FA), tras la detección de una vulnerabilidad que permitió a actores malintencionados identificar números de teléfono asociados con cuentas de Authy a través de un punto de acceso no autenticado.

Detalles del Incidente

Twilio ha identificado que los actores malintencionados lograron acceder a datos asociados con cuentas de Authy, incluidos los números de teléfono, debido a un punto de acceso no autenticado. La empresa ha tomado medidas inmediatas para asegurar este punto de acceso y ya no permite solicitudes no autenticadas. Aunque no hay evidencia de que los atacantes hayan accedido a otros datos sensibles de Twilio, la compañía recomienda a todos los usuarios de Authy actualizar a las versiones más recientes de las aplicaciones para Android y iOS para asegurar sus cuentas.

Medidas de Precaución y Actualización Requerida

Para proteger sus cuentas, los usuarios deben actualizar sus aplicaciones a las últimas versiones disponibles.

Aunque no se han comprometido las cuentas de Authy, los números de teléfono asociados podrían ser utilizados en ataques de phishing y smishing. Twilio insta a los usuarios a estar atentos y a tener una mayor precaución con los mensajes de texto que reciben.

Declaraciones Oficiales

Kari Ramirez, portavoz de Twilio, informó a TechCrunch: «Hemos detectado que actores malintencionados pudieron identificar datos asociados con cuentas de Authy, incluidos los números de teléfono, debido a un punto de acceso no autenticado. Hemos tomado medidas para asegurar este punto de acceso y ya no permitimos solicitudes no autenticadas. Como precaución, solicitamos a todos los usuarios de Authy que actualicen a las últimas versiones de las aplicaciones de Android y iOS para beneficiarse de las últimas actualizaciones de seguridad y alentamos a todos los usuarios a estar atentos a posibles ataques de phishing y smishing».

Contexto Adicional

La semana pasada, un hacker conocido como ShinyHunters afirmó haber robado 33 millones de números de teléfono de Twilio. Aunque obtener una lista de números de teléfono por sí sola puede no parecer extremadamente peligrosa, aún representa una amenaza significativa. Los atacantes podrían hacerse pasar por Authy o Twilio, aumentando la credibilidad de sus ataques de phishing dirigidos a esos números. Rachel Tobac, experta en ingeniería social y CEO de SocialProof Security, explicó que ahora los hackers pueden dirigirse específicamente a los usuarios de Authy, haciendo que sus mensajes maliciosos parezcan legítimos.

La rápida respuesta de Twilio para asegurar el punto de acceso no autenticado y la recomendación de actualizar las aplicaciones de Authy destacan su compromiso con la seguridad de los usuarios. Es crucial que los usuarios sigan estas recomendaciones para proteger sus cuentas y mantenerse vigilantes frente a posibles ataques de phishing y smishing.

×