La empresa de comunicación telefónica Twilio, propietaria de la aplicación de autenticación de dos factores (2FA) Authy, ha recomendado actualizar este servicio tras identificar una falla que ha permitido a un grupo de actores maliciosos obtener datos de los usuarios, incluidos sus números de teléfono.
Authy es una aplicación que ofrece un servicio de seguridad con el que permite agregar una capa de protección más allá de las contraseñas gracias a la autenticación multifactor. Así, los usuarios pueden utilizar esta 'app' para acceder a otros servicios mediante un código SMS, sin necesidad de utilizar una contraseña.
La compañía matriz de esta aplicación, Twilio, ha anunciado que ha identificado una actividad sospechosa y ha confirmado que este ciberataque se ha saldado con el robo de datos asociados con cuentas de usuarios de Authy, según ha indicado en un comunicado.
Esta información a la que habrían tenido acceso los ciberdelincuentes reúne números de teléfono de los usuarios, aque se habrían descubierto gracias a "un 'endpoint' no autenticado". Sin embargo, desde Twilio han asegurado que ya han tomado medidas para proteger y que ya no permiten solicitudes sin su correspondiente autentificación.
La compañía también ha confirmado el ataque a TechCrunch, que ha señalado que el grupo de 'hackers' conocido como ShinyHunters se atribuyó este ataque la semana pasada en una publicación de un foro de piratería -el cual no ha compartido-, donde indicó que obtuvieron los números de teléfono de 33 millones de usuarios.
En este marco, Twilio también ha matizado que no han encontrado evidencias de que los actores maliciosos hayan obtenido acceso a los sistemas de la compañía ni a otros datos confidenciales.
Con todo ello, la tecnológica ha subrayado que, como medida de protección, recomiendan a los usuarios que dispongan de una cuenta en Authy que actualicen su aplicación tanto en dispositivos Android como en iOS a la versión más reciente, para obtener las últimas actualizaciones de seguridad.
Twilio ha advertido que se trata de una medida necesaria ya que, si bien las cuentas de Authy no están comprometidas, los ciberdelincuentes pueden intentar utilizar el número de teléfono asociado para realizar ataques de 'phishing' y 'smishing'.
"Alentamos a todos los usuarios de Authy a que sean diligentes y tengan mayor conciencia sobre los mensajes de texto que reciben", han apostillado desde la compañía. Finalmente, han reiterado que la seguridad de sus sistemas es «una parte importante» para mantener la confianza de los usuarios.