Google ha enfrentado un problema significativo relacionado con el filtrado de números de teléfono de sus usuarios. Esto representa una seria amenaza a la privacidad y puede servir como una puerta de entrada para los hackers, quienes podrían llevar a cabo diversas campañas de malware. A continuación, te explicaremos cómo protegerte ante este tipo de situaciones.
El problema radica en una vulnerabilidad, ya solucionada, que permitía a un atacante acceder al número de recuperación de una cuenta de Google mediante un ataque de fuerza bruta. Solo necesitaban conocer el nombre del perfil y un número de teléfono parcial, que era relativamente fácil de obtener.
Filtración de números en Google
El inconveniente se debía a una versión antigua del formulario de recuperación de nombres de usuario de Google. Esta versión carecía de protecciones efectivas para evitar ataques de fuerza bruta, lo que otorgaba una ventaja significativa a los cibercriminales interesados en explotar la vulnerabilidad. El descubrimiento fue realizado por un investigador de ciberseguridad conocido como BruteCat.
En RedesZone, informamos sobre un fallo que permitía exponer las direcciones de correo electrónico de cuentas de YouTube, un problema que se detectó hace unos meses. Este también fue reportado por BruteCat, quien ahora ha alertado sobre la filtración de números de teléfono por parte de Google.
Es importante señalar que se expuso el número utilizado para la configuración de la cuenta de Google y su recuperación. Esto significa que no necesariamente coincide con el número principal del usuario. Sin embargo, es común que los usuarios solo tengan un número de teléfono vinculado a su cuenta de Google.
BruteCat descubrió que podía acceder a un formulario de recuperación antiguo, sin JavaScript. Esto permitía a cualquier persona verificar si un número de teléfono estaba asociado a una cuenta de Google, basándose en el nombre de usuario. Para evitar medidas básicas de seguridad, utilizó la rotación de direcciones IPv6, generando múltiples direcciones IP únicas para probar una y otra vez. También logró eludir los CAPTCHA que aparecían.
Unos minutos para obtener un número
En el caso de Estados Unidos, podía tardar alrededor de 20 minutos en descubrir un número. Para un teléfono español, el tiempo sería un poco menos de 4 minutos. En cualquier caso, se trataba de minutos, y solo necesitaba conocer la dirección de correo electrónico para asociarla a un nombre de perfil y, posteriormente, usar el número parcial para diferenciar entre nombres similares.
Esto claramente puede comprometer la seguridad de los usuarios. Saber el número de teléfono vinculado a una cuenta podría facilitar ataques de phishing más personalizados, poniendo en riesgo las contraseñas. También podría dar pie a ataques como el SIM Swapping o la clonación de tarjetas SIM.
Afortunadamente, Google ha mejorado su seguridad para prevenir este problema. BruteCat informó a Google sobre esta vulnerabilidad a través del programa de recompensas por errores, y aunque inicialmente lo consideraron de riesgo bajo, luego lo clasificaron como de gravedad media y realizaron las correcciones necesarias. Ahora, ya no es posible descubrir un número vinculado a una cuenta de Google utilizando este método.
Como usuario, no necesitas hacer nada, ya que el cambio ha sido implementado por Google. Sin embargo, es fundamental que permanezcas atento a cualquier SMS extraño que recibas o correos que busquen robar tus datos. No compartas información en sitios no confiables, nunca inicies sesión a través de enlaces enviados por mensajes, y asegúrate de mantener tus dispositivos bien protegidos.
