La autenticación de dos factores (2FA) se ha convertido en un pilar fundamental de la seguridad en los últimos años. Por ello, cualquier noticia sobre vulnerabilidades que puedan eludir estas protecciones es motivo de atención. Recientemente, Yubico ha emitido un aviso de seguridad confirmando una vulnerabilidad en un módulo de software utilizado para iniciar sesión en sistemas Linux o macOS con una YubiKey u otros autenticadores FIDO. Este aviso se centra en un fallo en el módulo de autenticación pam-u2f, que podría permitir eludir la autenticación en ciertas configuraciones.
Yubico, reconocida por sus soluciones de autenticación segura, ha liderado el mercado de llaves de hardware durante años. La vulnerabilidad, identificada como CVE-2025-23013, afecta a las versiones del paquete pam-u2f anteriores a la 1.3.1. Según el aviso, esta vulnerabilidad podría permitir a un atacante eludir la autenticación si tiene acceso al sistema como usuario no privilegiado. En función de la configuración, el atacante podría necesitar conocer la contraseña del usuario para explotar el fallo.
Un factor clave en esta vulnerabilidad es la ubicación del archivo de autenticación (authfile), que se configura mediante un argumento en la pila PAM, almacenada en directorios como /etc/pam o /etc/pam.d. Yubico ha detallado escenarios donde la gestión del authfile es crítica. Por ejemplo, si el authfile es gestionado por el usuario y almacenado en su directorio personal, y pam-u2f se utiliza como método de autenticación de un solo factor con la opción «nouserok» habilitada, un atacante podría eliminar o corromper el authfile, lo que llevaría a una escalada de privilegios locales.
En otro escenario, con un authfile gestionado centralmente que no puede ser modificado sin privilegios elevados, y suponiendo que pam-u2f se utiliza como segundo factor de autenticación junto con una contraseña de usuario, un atacante podría intentar agotar la memoria del sistema. Esto provocaría un error de asignación de memoria en pam-u2f, impidiendo la verificación del segundo factor durante un evento de autenticación. Yubico ha confirmado que ningún hardware se ve afectado por esta vulnerabilidad, lo que significa que las llaves YubiKey y dispositivos YubiHSM no están comprometidos.
La vulnerabilidad se clasifica como de alta severidad, ya que en ciertos escenarios, cuando no se puede asignar memoria o el módulo no puede cambiar privilegios, no contribuye a la decisión final de autenticación realizada por PAM. Yubico recomienda a los clientes afectados actualizar a la última versión de pam-u2f, disponible en GitHub o a través de Yubico PPA. La empresa ha asegurado que este problema de software no afecta a las YubiKeys ni a los dispositivos YubiHSM.
 se ha convertido en un pilar fundamental de la seguridad en los últimos años. Por ello, cualquier noticia sobre vulnerabilidades que puedan eludir estas protecciones es motivo de atención. Recientemente, Yubico ha emitido un aviso de seguridad confirmando una vulnerabilidad en un módulo de software utilizado para iniciar sesión en sistemas Linux o macOS con una YubiKey u otros autenticadores FIDO.){kind=link}