Resumen sobre la Vulnerabilidad en Google que Permitió Recuperar Números de Teléfono
Google recientemente resolvió una grave vulnerabilidad que permitía a los atacantes recuperar números de teléfono vinculados a casi cualquier cuenta de Google, una información considerada altamente sensible y generalmente no pública. Este problema fue identificado por un investigador de ciberseguridad conocido como BruteCat, quien utilizó el flujo de recuperación de cuentas de Google para llevar a cabo su investigación.
La vulnerabilidad se localizó en la página destinada a ayudar a los usuarios a recuperar sus cuentas en caso de olvidar sus credenciales. En este contexto, se descubrió que la plataforma no contaba con las protecciones del BotGuard, una herramienta de ciberseguridad diseñada para proteger sitios web contra ataques automatizados, bots malignos y otros tipos de amenazas. Sin embargo, BotGuard tiene limitaciones evidentes: no puede funcionar en sitios que no utilizan JavaScript, ya que su eficacia se basa en la ejecución de este lenguaje de programación en el navegador del visitante para recopilar datos del lado del cliente.
BruteCat logró realizar un asombroso número de solicitudes: alrededor de 40,000 solicitudes por segundo, empleando direcciones IP rotativas y estrategias para eludir los captchas. Con esta tasa, se estimó que le llevaría aproximadamente 20 minutos descubrir el número de teléfono de recuperación en Estados Unidos, mientras que en el Reino Unido podría hacerse en solo 4 minutos gracias a la longitud más corta de sus números telefónicos.
De modo interesante, Google brinda pistas sobre los números de teléfono mostrando los dos últimos dígitos durante el proceso de recuperación de cuentas. Para completar su investigación, BruteCat utilizó la biblioteca ‘libphonenumber’ de Google para generar formatos válidos de números. Sin embargo, necesitaba también el nombre completo del propietario de la cuenta, y esto lo logró al explotar una función de Looker Studio (antiguamente Google Data Studio). Al crear un documento y luego transferir la propiedad a la cuenta de la víctima, el nombre completo del usuario se mostraba automáticamente en la lista de "Documentos recientes" del servicio, aunque la víctima no hubiera interactuado con el documento en modo alguno.
La portavoz de Google, Kimberly Samra, abordó el problema en una declaración a TechCrunch, destacando que la vulnerabilidad ya ha sido corregida y subrayando la importancia de conducir investigaciones de seguridad a través de su programa de recompensas. Samra agradeció a BruteCat por informar sobre la vulnerabilidad, enfatizando que tales colaboraciones son esenciales para la rápida identificación y corrección de problemas que afectan la seguridad de los usuarios. A pesar de las preocupaciones sobre la gravedad de esta vulnerabilidad, Google afirma no tener constancia de que se haya explotado en la práctica.
Cabe mencionar que la existencia de una debilidad que permite la obtención de números de teléfono vinculados a cuentas de Google representa un significativo riesgo de phishing y de ataques de intercambio de SIM.Si los atacantes lograran acceder a una cuenta de Google, podrían potencialmente comprometer aún más la seguridad del usuario, dado que muchos cuentan con su número de teléfono principal como método de recuperación.
En resumen, la reciente vulnerabilidad en el sistema de recuperación de cuentas de Google pone de manifiesto la necesidad de una defensa robusta contra amenazas cibernéticas. A medida que las brechas de seguridad pueden poner en guardia incluso a las plataformas más grandes, es crucial que los usuarios conozcan los riesgos asociados y protejan sus identidades digitales adecuadamente.