Investigadores de seguridad de NinjaLab han descubierto una vulnerabilidad en el YubiKey 5 que podría permitir a hackers clonarlo mediante un ataque de canal lateral. Este dispositivo, utilizado ampliamente en autenticación multifactor para proteger cuentas sensibles, se basa en la biblioteca criptográfica del Algoritmo de Firma Digital de Curva Elíptica (ECDSA).

El ataque requiere la posesión física de la YubiKey, conocimientos avanzados y equipo especializado, como un osciloscopio, cuyo costo puede superar los $10,000. Yubico, la empresa detrás de YubiKey, ha emitido un informe detallado, explicando que la vulnerabilidad afecta a dispositivos con firmware 5.7 o inferior y a microcontroladores de seguridad Infineon utilizados en varios sistemas, como pasaportes electrónicos y billeteras de criptomonedas.

A pesar de la gravedad de la vulnerabilidad, el costo y la complejidad del ataque limitan su viabilidad para la mayoría de los usuarios. NinjaLab subraya que los dispositivos de autenticación FIDO, como YubiKey, siguen siendo más seguros que el uso de contraseñas solas para proteger cuentas sensibles.