2 puntos por GN⁺ 2024-08-18 | 1 comentarios | Compartir por WhatsApp
  • Con el aumento en el uso de MFA, Microsoft Authenticator puede sobrescribir una cuenta existente debido a una nueva cuenta TOTP agregada con un código QR, dejando al usuario bloqueado.
  • El núcleo del conflicto es un diseño que usa solo la label para distinguir cuentas, en lugar de usar issuer y label en conjunto como hacen Google Authenticator, Okta y otros.
  • Como la sobrescritura no se hace evidente de inmediato, el usuario puede descubrir que ya no puede acceder a su cuenta original solo semanas o meses después, cuando intenta usarla.
  • Las alternativas son usar otra app de autenticación o ingresar manualmente la Secret Key, pero eso es poco práctico para usuarios comunes en entornos corporativos.
  • Microsoft dijo que se trata de un comportamiento intencional y que muestra un mensaje de advertencia; después atribuyó parte del problema a la ausencia de issuer en algunos emisores, dejando solo la posibilidad de mejoras futuras.

Cómo un escaneo QR sobrescribe una cuenta MFA existente

  • Microsoft Authenticator puede sobrescribir una cuenta existente con el mismo nombre de usuario al agregar una nueva cuenta mediante escaneo de QR.
  • Como muchas veces se usa una dirección de correo como nombre de usuario, es común que cuentas MFA de varios servicios compartan la misma label.
  • Google Authenticator y la mayoría de las demás apps de autenticación evitan este conflicto usando también el nombre del issuer —por ejemplo, un banco o una automotriz—.
  • Microsoft Authenticator no usa el issuer junto con la cuenta, sino que identifica la cuenta solo por el nombre de usuario.
  • Después de la sobrescritura, pueden surgir problemas de autenticación tanto en la cuenta nueva como en la cuenta anterior que fue reemplazada.

Un bloqueo difícil de detectar

  • Cuando ocurre el bloqueo, el usuario puede pensar erróneamente que el problema está del lado de la empresa que ofrece la autenticación y no en Microsoft Authenticator.
  • Como resultado, las mesas de ayuda corporativas terminan gastando tiempo resolviendo una situación que no fue creada por ellas.
  • No es fácil identificar qué cuenta fue sobrescrita.
  • La desaparición de la cuenta original puede no hacerse visible hasta que el usuario intenta volver a usarla.
    • Ese momento puede llegar semanas o incluso meses después.

Alternativas y quejas de larga data

  • La alternativa más sencilla es usar otra app de autenticación en lugar de Microsoft Authenticator.
  • También se puede evitar el problema si no se escanea el código QR y se ingresa manualmente la Secret Key.
  • Al parecer, este problema no se presenta en cuentas de autenticación asociadas a cuentas de Microsoft.
  • CSO Online rastreó quejas sobre este problema hasta 2020, y todo indica que existe desde el lanzamiento de Microsoft Authenticator en junio de 2016.
  • En 2020, un usuario mencionó la alternativa de ingresar manualmente la Secret Key del Identity Provider, aunque consideró que eso no ayuda a usuarios finales promedio en entornos corporativos, dado que implica manejar cadenas aleatorias.

Sobrescritura reproducida en campo

  • El consultor de TI australiano Brett Randall vivió una situación durante una sesión de capacitación de un proveedor, cuando participantes escanearon códigos QR de MFA con Microsoft Authenticator y terminaron sobrescribiendo claves TOTP de otras aplicaciones.
  • Según Randall, un código QR de MFA genera una cadena con varios valores, y otras apps combinan label e issuer para crear un identificador único de esa clave.
  • En lugar de seguir ese comportamiento estándar, Microsoft Authenticator usa solo la label, que por lo general es una dirección de correo.
  • La última clave TOTP que use la misma dirección de correo puede sobrescribir a la anterior.
  • Randall describió como casi imposible lograr que Microsoft reconociera el problema y actuara en consecuencia.

Reacción de especialistas en seguridad y TI

  • CSO Online pidió a varios especialistas en seguridad y TI que reprodujeran el problema, y todos lo lograron.
  • Gary Longsine, fractional CTO de IllumineX, dijo que lo considera una falla de diseño y que no recomendaría Microsoft Authenticator.
  • Tim Erlin, VP de producto en Wallarm, dijo que al agregar una segunda entrada con la misma dirección de correo se produce el conflicto, y que una vez hecha la sobrescritura ya no se puede saber qué cuenta fue reemplazada.
  • Erlin mencionó que este problema podría ser menos conocido de lo que realmente es porque los usuarios pueden no entender cuál fue la causa.
  • David Meltzer, chief product officer de Netography, lo reprodujo personalmente y concluyó que es un bug claro y un problema relativamente simple de corregir para Microsoft.
  • La vocera de Google Kimberly Samra respondió que Google Authenticator no sobrescribe códigos y que eso fue una decisión explícita.

La postura de Microsoft y el texto de advertencia

  • Microsoft confirmó el problema, pero dijo que no es un bug sino un comportamiento intencional.
  • En su primera respuesta por escrito, explicó que cuando un usuario escanea un código QR recibe un mensaje de confirmación antes de una acción que podría sobrescribir la configuración de la cuenta.
  • El texto real de la advertencia es: “This action will overwrite existing security information for your account. To prevent being locked out of your account, continue only if you initiated this action from a trusted source.”
  • Ese mensaje le indica al usuario que continúe si él mismo inició la acción y si proviene de una fuente confiable.
    • En servicios legítimos como un banco o un hotel, cuando el usuario inicia por su cuenta el escaneo del QR, ambas condiciones suelen cumplirse.
    • Si sigue la instrucción, la sobrescritura de la cuenta puede ocurrir.
  • La ventana de advertencia no ofrece ninguna forma de evitar la sobrescritura más allá de abandonar el intento de autenticación.

Disputa sobre la responsabilidad por la ausencia de issuer

  • Más adelante, Microsoft dio una segunda respuesta más extensa, en la que explicó que algunos sitios o proveedores no incluyen el issuer —es decir, el nombre del sitio o del Identity Provider— dentro de la label.
  • Si ya existe una cuenta con la misma label, la app puede intentar sobrescribirla con la cuenta TOTP recién escaneada.
  • Microsoft sostuvo que en esos casos el usuario siempre recibe un mensaje para confirmar la sobrescritura y puede decidir si continuar o no.
  • La frase “seguimos mejorando el producto y tendremos esto en cuenta para futuras mejoras” fue la única parte que sugirió la posibilidad de que Microsoft corrija el problema.

Comparación con otras apps de autenticación

  • Randall considera que hay dos maneras de evitar que un usuario final sobrescriba por error claves de otras apps.
    • Auditar el otpauth de todas las aplicaciones y convencer a cada empresa de corregir las implementaciones defectuosas.
    • Que Microsoft haga una corrección una sola vez para que el problema deje de repetirse.
  • Randall dijo que probó el mismo comportamiento de conflicto en otras 14 apps de autenticación, y que ninguna se comportó como Microsoft Authenticator.
  • Entre las apps probadas estuvieron Google Authenticator, Okta Verify, Duo Mobile, LastPass Authenticator, 2FA Authenticator, Twilio Authy, Salesforce Authenticator, OneAuth, ForgeRock Authenticator, Authenticator 7, Authenticator App, Auth0 Guardian, OTP Auth y Authenticator 2FA Sentinel.

1 comentarios

 
GN⁺ 2024-08-18
Opiniones de Hacker News
  • Es un pequeño ejemplo que realmente muestra el gran problema de la seguridad sin usabilidad
    Basta pensar en las cosas absurdas que pasamos en nombre de la “seguridad”: cambios periódicos obligatorios de contraseña, reglas de contraseña disparatadas, requisitos no documentados que hay que descubrir a prueba y error, mensajes de error complejos llenos de jerga de seguridad, “preguntas secretas” cuyas respuestas no recuerdas, y cosas así
    Pero la seguridad de esos sistemas en sí está llena de agujeros como un colador. Casi todos los días salen en las noticias filtraciones de datos y exposiciones de información, y muchas veces me pregunto cómo se sigue dejando pasar

    • Capital One en algún momento introdujo los “nombres de usuario” y rompió el inicio de sesión con dirección de correo, pero no lo documentó ni impidió usar una dirección de correo como nombre de usuario
      Durante meses tuve que usar “buscar mi cuenta” cada vez que iniciaba sesión, y cada vez volvía a configurar el nombre de usuario como mi dirección de correo. Era lo lógico, porque esas habían sido mis credenciales de inicio de sesión durante casi 10 años
      La restricción de que no se podían usar @ ni . en el nombre de usuario nunca se aplicó hasta el momento de iniciar sesión, y al final, tras varios meses, descubrí que tenía que cambiarlo por otro valor
      La cuenta original era de ING Direct, luego pasó a ser Capital One 360 y después se integró por completo al resto del desastre de Capital One; creo que este problema del nombre de usuario también estuvo relacionado con eso
    • Ayer me pasó un buen ejemplo
      Sitio web: “Elige una contraseña compleja de al menos 8 caracteres que incluya caracteres especiales y números”
      Abro el gestor de contraseñas y, orgulloso, genero una contraseña aleatoria de 128 caracteres
      En la siguiente visita, el sitio web: “Ingresa el carácter 31, 98 y 102 de tu contraseña”
      Era un sitio de hipotecas del Reino Unido
      Ahora que lo pienso, para hacer eso significa que están guardando la contraseña en texto plano o, como mínimo, cifrada en vez de hasheada, para poder descifrarla cuando quieran
    • Lo que más odio es el patrón de entrar a un sitio web que no uso desde hace tiempo, saber que tengo una cuenta, ingresar el correo y la contraseña correcta generada algorítmicamente a partir del correo y la URL del sitio, y que falle
      Pienso que quizá era una contraseña generada con una versión anterior del algoritmo, vuelvo a intentarlo y también falla. Al final hago clic en restablecer contraseña, recibo el correo, abro el enlace y, al poner como nueva contraseña la generada por el algoritmo, aparece: “ese carácter especial no se puede usar”
      Cambio ese carácter especial por el siguiente según mis reglas y entonces aparece: “no puedes restablecerla usando tu contraseña actual”
    • De lo peor que he visto hasta ahora fue https://studentaid.gov/. No quería poner información falsa, y tampoco podía duplicar la cuenta para volver a revisar los requisitos
      Según recuerdo, tenía “prohibidas las palabras”, “prohibido reutilizar las últimas 24 contraseñas”, “algunos caracteres especiales excluidos”, “5 preguntas de seguridad” y varios requisitos más para la contraseña
      Nadie sabe si las preguntas de seguridad distinguen entre mayúsculas y minúsculas
      Incluso había un texto diciendo que debías certificar que la información de creación de la cuenta era verdadera y que eras tú, y que proporcionar información falsa o engañosa podía implicar una multa, prisión o ambas
    • La buena noticia es que todo lo que listaste es reconocido como una mala idea tanto por los usuarios finales como por la gente que entiende de seguridad. Por desgracia, la mayoría de quienes implementan políticas de seguridad no pertenecen a ninguno de esos grupos
      Con cuatro o más palabras de diccionario se puede obtener una excelente seguridad de contraseña, y el mismo enfoque puede usarse para las respuestas de preguntas de seguridad. También hay muchos gestores de contraseñas gratuitos y de pago que resuelven el problema de tener que recordar todos los valores secretos. También sirven para respaldar secretos de autenticación de dos factores
      Si el “mensaje de error complejo” corresponde a un error que esperan que el usuario corrija por su cuenta, podrían simplemente devolver un error genérico con un ID único y pedir que contacte a soporte. La bomba de jerga es molesta, pero más que un problema específico de seguridad parece la ineptitud común de los humanos para explicar errores
      La mayoría de las organizaciones, aunque el negocio en conjunto sea exitoso, al mismo tiempo están arruinando muchas cosas, y la seguridad es una de ellas. En una organización lo bastante grande, creo que es difícil evitar que gente incompetente haga cosas incompetentes
  • Esto no tiene sentido en varios niveles. ¿Significa que Microsoft Authenticator guarda los elementos solo según la etiqueta? ¿Ni siquiera crea una clave interna o algo así?
    ¿Y luego afirman que el problema es que el sitio web pone el emisor en el campo issuer, donde debería estar, en vez de en la etiqueta?
    Me pregunto si en Microsoft realmente no hay nadie que use su Authenticator. Si no se me está escapando algo, en cuanto usas un correo en un sitio ya no podrías agregarlo en otro, así que parece inutilizable para casi cualquier aplicación

    • De forma parecida, Google, el gigante de las búsquedas, lanzó Google Authenticator para Android sin barra de búsqueda, y pese a varias solicitudes de funciones sigue sin agregarla deliberadamente
      Pero la versión de iOS sí tiene barra de búsqueda. No tengo idea de por qué
      Dentro del enorme repositorio Piper seguramente ya existe una biblioteca de búsqueda local que podrían meter con una sola lista de cambios, aunque claro, eso no es un modelo de lenguaje grande
    • Según el artículo, Microsoft no quiso arreglarlo porque es un producto gratuito y no genera ingresos
    • Si los empleados de Microsoft usan su propio Authenticator, como mucho lo usarán solo para cuentas laborales de la empresa, donde Microsoft es el único emisor
      Y creo que muchísima gente directamente no lo usa
    • Aquí algo no cuadra. Tengo varias cuentas con el mismo correo, comparé los códigos de Authenticator, mi app TOTP de respaldo, con los códigos correctos, y coincidían
      Sin embargo, sí encontré un problema de UI que puede hacer que el usuario vea un código incorrecto. Los códigos de las primeras cuentas visibles en pantalla se actualizan cada 30 segundos, pero los códigos que están fuera de la pantalla no se actualizan
      Si te desplazas para traer un código que estaba fuera de pantalla, se muestra un código viejo; en un caso apareció un código con 4 ciclos de retraso respecto del correcto
    • Probablemente solo lo usen para una cuenta laboral de MS obligatoria en la empresa. No creo que lo usen en otros lugares, porque saben que no es muy bueno
  • Curiosamente, recibí un correo de Microsoft que parecía phishing, pero aparentemente no lo era.
    Decía “Acción requerida: habilite la autenticación multifactor en su tenant antes del 15 de octubre de 2024”, y que lo recibía por ser “administrador global”, pero no incluía el nombre de ninguna organización, solo un UUID.
    El aviso decía que, a partir del 15 de octubre de 2024, se requeriría MFA para iniciar sesión en el portal de Azure, el centro de administración de Microsoft Entra y el centro de administración de Intune, así que había que habilitar MFA antes de esa fecha. Si no era posible, indicaban solicitar una postergación de la fecha de aplicación.
    El problema es que no administro ninguna organización en Microsoft. Solo tengo algo como una cuenta personal de Office365 Family, y en la cuenta ya tengo configurada la autenticación en dos pasos.
    El correo no tenía mi nombre ni el supuesto nombre de la organización, solo un ID, así que no tengo idea de qué habla. Aun así, el correo sí venía de Microsoft.

    • Si inicias sesión en el portal de Azure, deberías ver un mensaje similar y poder ir al recurso relacionado.
  • Después de crear cuentas de Gmail, perdí algunas al cambiar de país y de computadora. Cuando intenté iniciar sesión, Google decía que la contraseña era correcta, pero que el dispositivo y la IP no le resultaban familiares.
    No recuerdo exactamente por qué no funcionó la recuperación mediante la dirección de recuperación, pero falló aunque todavía tenía acceso a esa dirección de correo de recuperación. Quizá Google me exigía decir cuál era la dirección de recuperación, y puede que yo hubiera usado un sufijo + aleatorio en esa dirección.
    Antes usaba Google Authenticator en las cuentas de Gmail, pero lo desactivé por miedo a sumar otro punto de falla en una situación en la que Google no ofrece demasiados recursos.
    Mis contraseñas tienen más de unos 96 bits de entropía: tomo 256 bits de /dev/urandom, los convierto en un entero de precisión múltiple, luego con divmod elijo un carácter de cada grupo —números, minúsculas, mayúsculas y símbolos—, el resto lo elijo de todo el alfabeto y, con la entropía restante, ejecuto un barajado Fisher-Yates para que el primer carácter no sea siempre un número.
    Son contraseñas por sitio, guardadas en un gestor de contraseñas basado en gpg que hice yo mismo a principios de los 2000.
    La autenticación multifactor ayuda frente a algunas intrusiones activas en curso, pero no ayuda contra dumps de hashes de contraseñas producto de filtraciones de bases de datos. Es realmente frustrante no poder recuperar la cuenta mediante el correo de recuperación aun sabiendo la contraseña.
    Si no inicié sesión desde ningún lado durante meses y tengo la contraseña correcta, al menos deberían enviar un enlace o código de verificación a la dirección de recuperación, sin exigirme decir cuál es. No hace falta que digan a dónde lo envían, pero convertir la dirección de recuperación en otra contraseña que hay que memorizar es realmente molesto.

    • No sabía esto. Para aumentar todavía más el riesgo, había configurado la dirección de recuperación como otra cuenta de Gmail inactiva.
      Ya no confío en Google más allá de los datos que ya le di y los que necesariamente tengo que darle.
      Tengo prevista una mudanza internacional, así que debo acelerar el traslado de mi vida de correo a la cuenta paga que estoy probando, Proton Mail, antes de que ocurra un problema grave.
      En la época en que Gmail parecía inocente, cuando la administración pública empezó a volverse online, comencé a dar Gmail como contacto para impuestos, salud, organismos públicos y cosas por el estilo. Funcionó bien, y a lo largo de varias mudanzas internacionales Gmail se convirtió en una herramienta administrativa importante.
      También tengo cuentas inactivas en varios lugares, pero quedan asuntos importantes que podrían ser necesarios algún día. Por ejemplo, permisos de viaje a Australia válidos por varios años.
      Incluso después de que se acelerara la vigilancia masiva, Gmail seguía pareciendo más o menos inofensivo, y fuera del hecho de que trato con ciertas instituciones, casi no había secretos reales ni asuntos personales profundos.
      Pero ahora que la administración online es prácticamente obligatoria y los demás medios quedaron reducidos al mínimo, Gmail está en una posición demasiado central como para sentirse cómodo. Las cosas preocupantes que los bots automatizados les hacen a usuarios desprevenidos, sin misericordia ni posibilidad de apelación, me obligaron a empezar la migración.
      Está tan extendido que me falta tiempo para buscar todo, y las cuentas olvidadas exigen escarbar recuerdos difusos, lo cual se siente como una tortura. Pero hay que hacerlo.
      No quiero que mis hijas gemelas, cuando tengan edad de necesitar correo electrónico para trámites oficiales, queden a merced de los bots de Google.
    • Cuando agregaste el correo de recuperación, deberías haber recibido un aviso en esa cuenta. Si encuentras ese correo en la bandeja de entrada, quizá puedas ver el sufijo aleatorio en el campo to.
    • Me pasó algo parecido. Me agregaron al dominio de Google de un proyecto open source y me dieron una dirección de correo, pero no puedo iniciar sesión porque Google exige un número de teléfono.
      Probablemente podría hablar con el administrador para que lo restablezca, pero es bastante desagradable que prácticamente mantengan la cuenta como rehén hasta que entregue información personal.
    • El problema es que no hay nadie con quien hablar: si la computadora dice que no, ahí se termina todo.
  • He venido usando el de Microsoft por mi cuenta de trabajo. Al fin y al cabo, está profundamente integrado en Office365, así que no había razón para no usarlo.
    Nunca vi ese cuadro de diálogo y tampoco tuve problemas con las cuentas que agregué. Como es una cuenta de trabajo, el 99% de las veces comparto mi correo de la empresa como nombre de cuenta.
    Entonces, ¿eso significa que tuve suerte de que los sitios que uso proporcionaran etiquetas lo bastante únicas? Siento que no termino de entender exactamente cuál es el problema.

    • Quería usar una llave de hardware como autenticación de dos pasos, pero no todos los sistemas la soportan, y los que lo hacen no siempre la soportan bien. Si te dicen que el máximo de llaves registrables es 1, uno se pregunta qué pretenden.
      Al final pasa el tiempo, y esto no es algo que me dé de comer a mí y a mi familia, sino una molestia de tener que investigar qué malabares hacer para iniciar sesión, así que decidí usar el de MS que me obligaban a usar en mi trabajo anterior.
      Ya he perdido demasiado tiempo trasteando con estas cosas en vez de hacer algo significativo con mis cuentas en línea.
      Toda la verificación de identidad en línea es profundamente poco confiable y está llena de agujeros enormes y riesgos aún mayores, y aun así estamos construyendo toda nuestra vida encima de eso.
      Durante décadas ha habido daños graves por la debilidad de las contraseñas y, aun así, seguimos usando contraseñas e intentando parcharlas con curitas o una mano de pintura.
      Casi cada semana algún sistema en línea filtra cantidades masivas de datos personales fáciles de explotar, y nosotros seguimos sentados como el meme del perro tomando café en medio de una habitación en llamas: “está bien, está bien”.
      Nos dicen que estaremos seguros si usamos contraseñas distintas de 8 caracteres o más en cada sistema, y creemos que todo va a estar bien.
    • Este bug parece ocurrir solo al escanear códigos QR en la app de iOS.
    • A mí me pasa igual. Tengo 3 cuentas personales que usan la misma dirección de correo, dos de ellas de FAANG, y llevan casi 10 años funcionando sin problemas.
    • Leyendo la respuesta de Microsoft, Microsoft culpa a las empresas que emiten MFA de “no poner el emisor en la etiqueta”. MSFT espera que el emisor esté ahí.
      Si esa es su expectativa, los productos de Microsoft pondrán ellos mismos el emisor en la etiqueta, así que no habrá problema.
      El problema aparece cuando usas otros proveedores que usan el mismo correo como identificador, pero ponen el emisor en el campo issuer, que existe precisamente para guardar el emisor. Como si fuera una rareza.
  • Safari también tenía un bug parecido: sobrescribía las passkeys sin ningún aviso y te dejaba totalmente bloqueado fuera de la cuenta. Luego lo corrigieron, pero por esto perdí el acceso a GitHub.
    https://bugs.webkit.org/show_bug.cgi?id=270553
    Safari todavía tiene un bug por el que no puede distinguir sitios web alojados en distintos subdominios salvo mediante excepciones hardcodeadas, y sobrescribe la contraseña de un subdominio con la de otro. Me pasa todos los meses.

    • Una de las razones por las que empecé a usar un gestor de contraseñas de terceros, que permite agregar manualmente varios sitios a una misma entrada, fue que Keychain me advertía que estaba reutilizando contraseñas en subdominios de StackOverflow y StackExchange.
      Pero no sabía que esa estupidez llegaba todavía más profundo.
  • Precisamente por esto la autenticación multifactor por SMS sigue siendo popular entre los usuarios, aunque tenga vulnerabilidades de seguridad.
    En general es lo bastante aceptable mientras no seas blanco de un ataque de SIM swap. La mayoría no lo será, pero sí tiene una probabilidad bastante alta de sufrir el problema de perder sus claves de autenticación multifactor.

    • Exacto. Es simple y casi todo el mundo lo entiende. Igual que las contraseñas en sí.
      Esa es también la razón por la que métodos más seguros como YubiKey no han llegado al público general: son engorrosos y confusos.
    • Lo activé dos veces. La primera, mi teléfono se rompió por completo justo después de activarlo; la segunda, me lo robaron.
      Ahora simplemente dependo de contraseñas generadas aleatoriamente.
    • Creo que el camino a futuro es FIDO junto con llaves NFC en forma de tarjeta muy baratas.
      Cuando tengas que iniciar sesión en algún lado, sacas la tarjeta de la cartera y la acercas al teléfono o a la laptop.
      Para una empresa con clientes de pago, deberían ser lo suficientemente baratas como para que, si un cliente no tiene tarjeta, sea más razonable enviársela físicamente por correo que soportar métodos de autenticación alternativos.
      Puede que la mayoría de los servicios ni siquiera necesiten una segunda capa de autenticación. Si alguien te roba la cartera, ¿de verdad se va a preocupar también por tu cuenta de Reddit?
  • Hice una prueba y no hubo conflictos entre varias cuentas que usan el mismo nombre de cuenta/correo.
    En cada entrada aparece correctamente el ícono del emisor, y el emisor está registrado en cada una.
    Llevo años usando MS Authenticator y nunca he tenido un problema de este tipo; por supuesto, siempre uso el mismo correo como nombre de cuenta o nombre de usuario.
    Solo estoy dejando constancia del resultado de la prueba. No creo que esto cambie mi opinión sobre Authenticator o Microsoft, pero bueno.

    • Me da curiosidad en qué plataforma. Escuché que ese problema, o “función”, está limitado a la versión de iOS.
  • Esto también me pasó cuando actualicé MS Authenticator después de no haberlo actualizado durante un tiempo.
    Se borraron todos los datos y quedé bloqueado fuera de todas mis cuentas. MS Authenticator no es un producto hecho con cuidado.

  • Me pasó algo parecido hace aproximadamente un año, cuando la app Google Authenticator se actualizó automáticamente a una nueva versión.
    Durante la actualización perdí todas mis cuentas y sin duda aprendí algunas lecciones.

    • Por esta pesadilla, siempre hago copia de seguridad de los códigos QR de MFA y los agrego a una app de código abierto que me permite respaldar esos datos también en otro lugar.