Confiar en dispositivos como las llaves YubiKey se ha vuelto una práctica común para quienes buscan proteger su seguridad en línea de forma sólida y eficaz. Estas pequeñas llaves, que utilizan el protocolo FIDO, son ampliamente reconocidas por su capacidad para bloquear a los atacantes y garantizar accesos seguros.
Sin embargo, un nuevo ataque conocido como EucLeak ha puesto en alerta a la comunidad de seguridad, ya que permite clonar estas llaves y acceder a cuentas protegidas sin que el usuario lo note. Lo que parecía un sistema prácticamente invulnerable ahora enfrenta una seria amenaza.
Recientemente se ha descubierto una nueva vulnerabilidad llamada "Eucleak" que afecta a dispositivos FIDO que utilizan el microcontrolador de seguridad Infineon SLE78, incluyendo la Serie YubiKey 5 de Yubico. Esta falla permite a los atacantes extraer claves secretas del Algoritmo de Firma Digital de Curva Elíptica (ECDSA) y clonar el dispositivo FIDO.
El ataque aprovecha un canal lateral para recuperar las claves secretas mediante adquisiciones de emisiones electromagnéticas (EM). No obstante, ejecutar este ataque no es sencillo: requiere acceso físico prolongado al dispositivo, equipo especializado y un conocimiento avanzado de electrónica y criptografía.
Debido a los requisitos complejos para llevar a cabo este ataque, el riesgo queda bastante reducido y se limita mayormente a actores altamente sofisticados, como grupos patrocinados por estados, que suelen dirigirse a objetivos de alto valor. Por esta razón, Eucleak no se considera una amenaza para la mayoría de los usuarios, incluso para quienes usan dispositivos potencialmente vulnerables.
En 2021, se descubrió un ataque de canal lateral similar dirigido a las llaves de seguridad Google Titan, que también permitía extraer la clave privada ECDSA y clonar el dispositivo.
Conoce más sobre: Protocolos y Funcionamiento de YubiKey
La vulnerabilidad Eucleak afecta a los dispositivos de la Serie YubiKey 5 que ejecutan versiones de firmware anteriores a la 5.7.0, ya que utilizan una biblioteca criptográfica de Infineon con fallas.
Los modelos afectados por esta vulnerabilidad son:
Yubico ha calificado el riesgo como moderado, con una puntuación CVSS de 4.9, lo que sugiere un bajo nivel de riesgo. Además, destacan que un atacante que intente explotar esta vulnerabilidad necesitaría tener acceso al PIN del usuario o a una autenticación biométrica, lo que complica aún más la posibilidad de un ataque exitoso.
Para los usuarios preocupados por la seguridad de sus dispositivos, Yubico recomienda verificar la versión del firmware utilizando herramientas como YubiKey Manager o YubiKey Authenticator. Esto permitirá saber si tu llave está actualizada o si necesitas realizar alguna acción para protegerte.
Si tienes una versión vulnerable de tu dispositivo YubiKey o YubiHSM, lamentablemente no es posible actualizar el firmware a las versiones más recientes (5.7.0 para YubiKey y 2.4.0 para YubiHSM) para corregir esta falla.
Como medida de mitigación, el proveedor sugiere utilizar claves de firma RSA en lugar de las basadas en curvas elípticas (ECC) y reducir la duración máxima de las sesiones desde la configuración del proveedor de identidad, de modo que se requieran autenticaciones FIDO con mayor frecuencia.
Conoce más sobre: ¿Tu software está al día?: Importancia de los Parches
Además de las YubiKey, Eucleak también afecta a otros productos que usan hardware de Infineon. Entre ellos se encuentran los módulos TPM (SLB96xx) utilizados para funciones de arranque seguro, autenticación y operaciones criptográficas, y el microcontrolador Optiga Trust M, común en dispositivos IoT.
Estos TPM de Infineon se encuentran en teléfonos y tabletas más antiguos (lanzados entre 2013 y 2018) de marcas como Samsung y OnePlus, así como en algunos portátiles más viejos de fabricantes como Lenovo, Acer, Dell, HP y LG. Otro dispositivo afectado es la tarjeta Java Feitian A22, utilizada en sistemas de autenticación y tarjetas inteligentes, que también emplea el microcontrolador Infineon SLE78.
Otros dispositivos que podrían verse afectados incluyen pasaportes electrónicos, billeteras de criptomonedas (billeteras frías), dispositivos IoT y cualquier dispositivo FIDO que utilice el microcontrolador SLE78 de Infineon.
Podría interesarte leer: Detección de Amenazas en IoT con Wazuh
Eucleak es una vulnerabilidad grave que afecta a las llaves de seguridad FIDO y que puede comprometer la seguridad de nuestras cuentas en línea. Sin embargo, hay medidas que puedes tomar para protegerte, como mantener tus dispositivos y llaves actualizados, evitar conectarte a dispositivos no confiables y monitorear activamente los accesos a tus cuentas.