Una vulnerabilidad recientemente corregida en los servicios de Google permitía a cualquier atacante descubrir el número de teléfono vinculado a casi cualquier cuenta. Sí, leíste bien: un error crítico abría la puerta a una de las filtraciones más peligrosas hasta ahora.
El hallazgo fue reportado por el investigador de ciberseguridad Brutecat, quien demostró que bastaban algunas herramientas automatizadas y algo de ingenio para acceder a esta información sensible que normalmente no es pública.
¿Cómo funcionaba el fallo
Todo comenzó en la página de recuperación de cuentas de Google. Al parecer, esta sección carecía de protección por parte de BotGuard, una solución basada en la nube que defiende los servicios contra bots y ataques automatizados.
¿El problema? BotGuard no funciona si el navegador no ejecuta JavaScript, lo que abrió la posibilidad a los ataques automatizados.
Brutecat utilizó:
- Direcciones IP rotativas
- Un truco para saltarse CAPTCHAs ocasionales
- El motor de Google «libphonenumber» para generar números válidos
Con todo esto, fue capaz de hacer 40 mil solicitudes por segundo. En EE. UU., eso bastaba para encontrar el número de recuperación de una cuenta en menos de 20 minutos. En el Reino Unido, solo tomaba 4 minutos gracias a los números más cortos.
Para afinar los ataques, el investigador necesitaba el nombre completo del usuario objetivo. Aquí es donde entra una segunda vulnerabilidad: Google Looker Studio (antes Data Studio).
El investigador descubrió que si creaba un documento en Looker Studio y lo transfería a la cuenta de la víctima (usando su correo), el nombre completo del usuario aparecía automáticamente en la interfaz, aunque nunca hubiera interactuado con el documento.
Esto no sucede con otros servicios de Google, lo que hace que este error sea particularmente alarmante.
¿Qué dice Google?
Google reaccionó rápido y solucionó la vulnerabilidad. Su vocera, Kimberly Samra, declaró:
“Este problema ya ha sido corregido. Agradecemos a la comunidad de investigadores por ayudarnos a detectar y resolver fallos de forma temprana.”
La compañía también afirmó que no tiene evidencia de que alguien haya explotado esta falla de forma maliciosa.
Aunque Google ya haya corregido el problema, las implicaciones son preocupantes. Asociar números de teléfono con cuentas de Google abre la puerta a ataques de phishing, robos de identidad o SIM swapping, una táctica donde los ciberdelincuentes clonan tu número telefónico para robarte el control de tus cuentas.
Recordemos que la mayoría de usuarios utilizan su número principal como número de recuperación, lo que hace esta vulnerabilidad aún más peligrosa.