Google Soluciona Grave Vulnerabilidad que Exponía Números de Recuperación

Error de Seguridad en Google Permitía Descubrir Números de Teléfono Privados

Un investigador de seguridad descubrió una grave vulnerabilidad que permitía revelar el número de teléfono de recuperación de casi cualquier cuenta de Google sin alertar a su propietario, exponiendo a los usuarios a importantes riesgos de privacidad y seguridad.

Mecanismo del Ataque

El investigador conocido como brutecat desarrolló una cadena de ataque que combinaba varios procesos:

• Filtración del nombre completo asociado a la cuenta
• Evasión de los sistemas de protección anti-bots de Google
• Ataque de fuerza bruta para probar todas las combinaciones numéricas posibles

Mediante un script automatizado, el investigador podía descubrir el número secreto en menos de 20 minutos, dependiendo de la longitud del número telefónico.

Riesgos para los Usuarios

Esta vulnerabilidad representaba graves amenazas:

• Exposición de cuentas anónimas a ataques dirigidos
• Posibilidad de ataques SIM swap para tomar control de números telefónicos
• Riesgo de secuestro de cuentas mediante restablecimiento de contraseñas

Solución y Reconocimiento

Google confirmó haber solucionado el error tras ser alertado en abril. La portavoz Kimberly Samra declaró: «Este problema ha sido solucionado. Agradecemos al investigador por señalar este problema».

La compañía destacó que no se han detectado explotaciones maliciosas de esta vulnerabilidad. Como reconocimiento, Google otorgó al investigador una recompensa de $5,000 a través de su programa de recompensas por errores.