viernes, marzo 30, 2018

Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP #paypal #latch

Una de las cuentas que puedes proteger con servicios TOTP es la de tu cuenta Paypal, y es de las que no deberías tener sin 2FA ni de broma, pues como os podéis imaginar es de las más buscadas junto con las cuentas de BitCoins. Hay dinero detrás de ellas, así que aquí tienes una pequeña guía de cómo puedes proteger tu dinero en Paypal usando Latch Cloud TOTP.

Figura 1: Cómo proteger tu cuenta de Paypal con Latch Cloud TOTP

En primer lugar debes activar tu clave de seguridad. Esto por defecto se puede hacer en Paypal de dos formas diferentes. La primera, usando un número de teléfono y recibiendo un número SMS - pero como veremos en el artículo de mañana  esto tiene "efectos laterales" - o bien configurando un servicio como Latch Cloud TOTP. Para ello, debes entrar en la siguiente URL, que no está muy fácil de localizar cuando inicias sesión, así que quédate con este enlace: Activar 2FA en PayPal.

Figura 2: Activar Clave de Seguridad en Paypal

Aquí se debe seleccionar la opción 2, que como se puede ver es un dispositivo físico de Symantec que utiliza un TOTP, así que lo único que necesitamos es tener los datos del TOTP para poder generar ese en nuestra cuenta de Latch el Cloud TOTP adecuado. Cuando demos a esta opción nos pedirá tres datos:
- El número de serie del dispositivo físico. 
- Un número TOTP. 
- Otro número TOTP.
Esto lo podemos hacer de dos formas diferentes. La primera de ellas es utilizando un script en Python llamado python-vipaccess que está disponible en pip, el gestor de paquetes. En este artículo explican paso a paso: Cómo generar un TOTP para Paypal en Python.

Figura 3: Proceso para la creación de un TOTP válido para Paypal desde Pyhont

La otra opción es utilizar este servicio online que corre este mismo script en una web, para ello deberemos dar los datos que queremos que se muestren en el cliente Latch Cloud TOTP y recibiremos el número de serie que necesitamos para registrar nuestro 2FA de autenticación en Paypal y el QRCode que necesitamos para generar los TOTP desde Latch

Figura 4: Serial Number y QRCode con semilla TOTP creados

Lo recomendable, a pesar de como dice la web no guarda ningún dato, es que te corras el script en Python - os haremos un post para explicarlo paso a paso - o que nunca pongas el correo electrónico de tu cuenta Paypal en esta web. Yo puse correos falsos para las pruebas, ya que al final esa información es solo para el cliente Latch, y nos da igual que no aparezca esa información.

Una vez tengamos el QRCode, debemos abrir Latch y generar un nuevo servicio, en este caso de Cloud TOTP y pasar a escanear el QRCode para tener creado el servicio en nuestra aplicación Latch.

Figura 6: Creado el Cloud TOTP para Paypal en Latch

Con estos datos, ya podremos registrar en Paypal el servicio, poniendo el Serial Number que nos ha devuelto el formulario, y dos números TOTP que nos haya devuelto el servicio de Latch Cloud TOTP que acabamos de crear.

Figura 7: Asociación en Paypal del Latch Cloud TOTP creado

Una vez creado, y tras probar dos o tres veces que todo va bien, podemos eliminar el número de teléfono de la lista de dispositivos que obtendrán el código de seguridad o tener los dos elementos activados. Un mensaje SMS y/o un código de Latch Cloud TOTP.

Figura 8: Elementos para hacer el 2FA en Paypal. Se ha desactivado el número de Telefónco

A partir de este momento, siempre que se vaya a iniciar sesión, tras introducir correctamente el usuario y la contraseña, se pedirá el 2FA por alguno de los dispositivos que se hayan seleccionado.

Figura 9: Introducción del PIN TOTP en el login de Paypal

Y podrás utilizar el PIN TOTP que te devuelva tu servicio de Paypal en Latch Cloud TOTP, sin necesidad de esperar mensajes SMS o utilizarlos si no quieres.

Saludos Malignos!

5 comentarios:

Lester Fibla Saavedra dijo...

¿La 2FA de paypal depende del país o de algún otro parámetro?
Acabo de intentar seguir los pasos y al elegir la opción de la clave de seguridad (En mi caso solo salía esa, no sale lo del SMS) me dice que esa opción no está disponibe :(

Dasster 88 dijo...

¿Cómo funciona lo de cerrar el pestillo en todos los servicios? Lo tengo cerrado pero ni me avisa de nada ni me impide entrar en ellos. Y... ¿ya no se pueden cerrar individualmente? Un saludo.

Lolo dijo...

He seguido todos los paso y ya tengo mi cuenta protegida, me parece genial y ahora me siento mas seguro, pero hay un pequeño problema, y es que ahora no puedo acceder desde la aplicación de android, o al menos no se como hacerlo.... Hay alguna manera de arreglar esto ??? Un saludo !

kukko kukko dijo...
Este comentario ha sido eliminado por el autor.
kukko kukko dijo...

...sorry por el amago anterior..
Me ha pasado lo mismo, la app de android no soporta TOTP, solo verifica con envío de sms al móvil, así que yo he tenido que sacrificarla y usar el navegador del móvil en su lugar.No hago ni recibo pagos con Paypal asi que no se ha perdido gran cosa...hasta que la actualicen, claro !

Entrada destacada

Docker: SecDevOps. El nuevo libro de @0xWord

Hoy sábado tenemos una nueva sorpresa en la colección de libros de 0xWord , en este caso un libro de Fran Ramírez , Rafael Troncoso y Elia...

Entradas populares