Proton soluciona una vulnerabilidad crítica en su Authenticator para iOS que exponía secretos TOTP en texto plano

Introducción

La seguridad de los mecanismos de autenticación multifactor (MFA) es esencial para proteger tanto la identidad de los usuarios como los activos corporativos. Recientemente, Proton, conocido proveedor de servicios seguros, ha corregido una vulnerabilidad de alta gravedad en su aplicación Proton Authenticator para iOS, que afectaba directamente a la confidencialidad de los secretos TOTP (Time-based One-Time Password). Este incidente pone de relieve los riesgos asociados a la gestión inadecuada de datos sensibles incluso en aplicaciones orientadas a la privacidad y la seguridad.

Contexto del Incidente o Vulnerabilidad

Proton Authenticator, lanzado como parte del ecosistema de aplicaciones seguras de Proton, permite a los usuarios gestionar códigos TOTP para MFA con el objetivo de mejorar la protección de cuentas frente a accesos no autorizados. Sin embargo, una revisión de seguridad interna y reportes de usuarios detectaron que, en determinadas versiones de la aplicación para iOS, los secretos utilizados para generar códigos temporales de acceso se almacenaban en texto plano dentro de los registros de la aplicación (logs).

Esta práctica supone una violación directa de los principios de seguridad de la información, especialmente en lo que respecta a la confidencialidad e integridad de los datos utilizados para autenticación. Más aún, si dichos registros se comparten para soporte técnico o son accedidos por aplicaciones de terceros con permisos de lectura, los secretos TOTP podrían ser sustraídos y utilizados para comprometer cuentas protegidas por MFA.

Detalles Técnicos

La vulnerabilidad no ha recibido aún un identificador CVE oficial, pero puede catalogarse como una exposición de información sensible (CWE-532: Insertion of Sensitive Information into Log File). El fallo residía en el proceso de incorporación de nuevas cuentas TOTP, durante el cual los secretos en base32, necesarios para la generación de los códigos temporales, quedaban registrados en texto plano en los logs locales de la aplicación.

Vectores de ataque:
– Acceso físico o remoto al dispositivo iOS con la aplicación afectada.
– Extracción de los registros mediante herramientas forenses o acceso a backups.
– Envío voluntario de logs al soporte técnico de Proton o terceros, exponiendo inadvertidamente los secretos.

TTP MITRE ATT&CK:
– T1552: Unsecured Credentials – Exposición de secretos TOTP almacenados sin cifrado.
– T1005: Data from Local System – Obtención de información sensible desde archivos locales.

IoCs:
– Presencia de cadenas base32 correspondientes a secretos TOTP en archivos de log de la app Proton Authenticator para iOS, versiones iniciales lanzadas antes de la actualización corregida.

Impacto y Riesgos

El riesgo principal radica en la exposición de los secretos TOTP, lo que permite a un atacante generar códigos de autenticación válidos y, por tanto, superar controles MFA en servicios críticos. El impacto puede ser especialmente grave en entornos empresariales donde cuentas privilegiadas dependen de MFA para el acceso a sistemas sensibles o consolas de administración.

Según estimaciones internas de Proton, el porcentaje de usuarios potencialmente afectados es limitado, dado que el bug sólo impactó a versiones específicas en iOS y durante la incorporación de nuevas cuentas TOTP. No obstante, dada la naturaleza de los datos expuestos, el impacto potencial es crítico: la reutilización de secretos podría llevar a la toma de control de identidades y violaciones de datos bajo el marco de GDPR o NIS2.

Medidas de Mitigación y Recomendaciones

Proton ha publicado una actualización urgente de su aplicación Authenticator para iOS, corrigiendo la gestión de logs y eliminando la inclusión de secretos en texto plano. Se recomienda a todos los usuarios:

– Actualizar inmediatamente a la última versión disponible desde la App Store.
– Revisar y eliminar cualquier log generado antes de la actualización.
– En caso de haber compartido logs con terceros, proceder a revocar y regenerar los secretos TOTP afectados en todas las cuentas asociadas.
– Seguir buenas prácticas de gestión de dispositivos móviles, limitando el acceso físico y el uso de apps de terceros no autorizadas.
– Realizar auditorías regulares de la configuración y almacenamiento de datos sensibles en aplicaciones MFA.

Opinión de Expertos

Especialistas en ciberseguridad como Daniel Cid (OSSEC, Sucuri) subrayan que “la exposición de secretos TOTP en logs es uno de los riesgos más críticos, ya que invalida la premisa de seguridad de la autenticación multifactor”. Por su parte, analistas de SOC advierten que este tipo de errores pueden pasar desapercibidos en entornos de BYOD, donde la gestión de dispositivos y aplicaciones no siempre es centralizada ni monitorizada.

Implicaciones para Empresas y Usuarios

Para organizaciones sujetas a normativas estrictas como GDPR o NIS2, la exposición de secretos TOTP puede considerarse una brecha de seguridad notificable, con riesgos legales y reputacionales. Las empresas deben revisar sus políticas de gestión de MFA y asegurarse de que las aplicaciones utilizadas cumplan estándares de desarrollo seguro. Los usuarios individuales, por su parte, deben ser conscientes de los riesgos de compartir logs y adoptar una estrategia de rotación y supervisión de credenciales MFA.

Conclusiones

El incidente de Proton Authenticator para iOS evidencia la importancia de una gestión rigurosa de los datos sensibles en aplicaciones de autenticación. Aunque la rápida respuesta de Proton ha mitigado los riesgos inmediatos, el caso subraya la necesidad de auditorías continuas y de involucrar a la comunidad de seguridad en la revisión de aplicaciones críticas. La transparencia en la comunicación y la adopción de mejores prácticas de desarrollo seguro son esenciales para mantener la confianza en las soluciones de MFA.

(Fuente: www.bleepingcomputer.com)