Google ha solucionado una vulnerabilidad crítica en su sistema de recuperación de cuentas que permitía a un atacante obtener los números de teléfono privados utilizados como respaldo para casi cualquier cuenta de Google, según un informe publicado el 9 de junio de 2025. A continuación, se detalla el incidente y sus implicaciones:
Detalles del Error
Naturaleza del fallo: Un investigador de seguridad, identificado como “brutecat”, descubrió un fallo en la función de recuperación de cuentas de Google. Este error permitía, mediante un ataque automatizado, obtener los números de teléfono de recuperación asociados a una cuenta en tan solo 20 minutos o menos, dependiendo de la longitud del número.
Método de explotación: El ataque combinaba varias técnicas:
Revelar el nombre completo asociado a la cuenta objetivo.
Evadir los mecanismos de protección anti-bots de Google, diseñados para prevenir solicitudes masivas de restablecimiento de contraseña.
Realizar un ataque de fuerza bruta que probaba todas las permutaciones posibles de números de teléfono hasta dar con el correcto.
Pruebas realizadas: TechCrunch verificó el fallo al crear una nueva cuenta de Google con un número nunca usado antes. El investigador brutecat logró obtener dicho número en poco tiempo utilizando un script automatizado.
–
Riesgos para los Usuarios
Exposición de datos privados: La revelación de números de teléfono de recuperación podía exponer incluso cuentas anónimas de Google a ataques dirigidos, como intentos de toma de control de cuentas.
Ataques de SIM swapping: Conocer el número de teléfono asociado a una cuenta facilitaba a atacantes expertos ejecutar ataques de intercambio de SIM, redirigiendo comunicaciones a un dispositivo controlado por ellos.
Impacto en la privacidad: Los números de teléfono son datos personales sensibles, y su exposición podía derivar en riesgos de phishing, acoso o ataques dirigidos, especialmente para usuarios de alto perfil.
Respuesta de Google
Corrección del fallo: Google fue notificado del problema por brutecat en abril de 2025 y confirmó a TechCrunch que implementó una solución para cerrar esta vulnerabilidad.
Sin evidencia de explotación masiva: No hay reportes de que el fallo haya sido explotado ampliamente antes de su corrección, pero la facilidad del ataque subraya la importancia de proteger los datos de recuperación.
Relevancia de la privacidad: Este incidente resalta los riesgos asociados con el uso de números de teléfono como método de verificación o recuperación, un tema recurrente en debates sobre privacidad. Por ejemplo, servicios como WhatsApp han enfrentado críticas por vulnerabilidades similares que exponen metadatos de usuarios.
Recomendaciones para usuarios:
Usar métodos alternativos de autenticación, como aplicaciones de autenticación de dos factores (2FA) como Google Authenticator o Authy, en lugar de depender únicamente de números de teléfono.
Revisar regularmente las configuraciones de seguridad de las cuentas de Google, asegurándose de que los datos de recuperación estén actualizados y protegidos.
Considerar el uso de correos electrónicos alternativos para la recuperación de cuentas en lugar de números de teléfono, cuando sea posible.
–
El fallo descubierto por brutecat expuso una debilidad significativa en la infraestructura de seguridad de Google, que podría haber comprometido la privacidad de millones de usuarios. Aunque Google actuó rápidamente para corregirlo, el incidente subraya la necesidad de sistemas de verificación más robustos y la importancia de no depender exclusivamente de números de teléfono para la seguridad de las cuentas. Los usuarios deben estar atentos y adoptar medidas adicionales para proteger su información personal.
Add Comment