Google cerró una brecha que permitía obtener números de teléfono de cualquier usuario en solo 20 minutos. Un problema tecno que pudo ser muchísimo peor.

¿Creías que tu número de recuperación en Google era seguro? Te equivocaste. Durante meses, un error crítico en el sistema de la empresa permitió que cualquier persona con conocimientos técnicos pudiera acceder a números telefónicos privados de usuarios, sin que estos se dieran cuenta del ataque.

La vulnerabilidad, descubierta por el investigador independiente brutecat, funcionaba como una bomba de tiempo digital. El experto logró desarrollar un método que explotaba múltiples fallas en el sistema de recuperación de cuentas, burlando incluso las protecciones anti-spam implementadas por Google.

El proceso era terriblemente eficiente: mediante un script automatizado, el atacante podía forzar todas las combinaciones posibles de números telefónicos hasta dar con el correcto. En el peor de los casos, esto tomaba apenas 20 minutos, dependiendo de la longitud del número objetivo.

TechCrunch decidió poner a prueba el método del investigador. Crearon una cuenta nueva con un número nunca antes utilizado y proporcionaron únicamente la dirección de email a brutecat. El resultado fue devastador: en poco tiempo, el hacker respondió con el número telefónico exacto acompañado de un simple “bingo :)”.

Con esta información, los ciberdelincuentes pueden ejecutar ataques de intercambio de SIM, apropiándose del número para recibir códigos de verificación y resetear contraseñas de múltiples servicios.

Tras ser alertada en abril, Google finalmente solucionó el problema. Kimberly Samra, portavoz de la compañía, confirmó que no detectaron explotación masiva de esta vulnerabilidad, aunque el daño potencial era enorme.

La empresa compensó al investigador con 5.000 dólares a través de su programa de recompensas por vulnerabilidades. Sin embargo, queda la pregunta incómoda: ¿cuántos usuarios fueron víctimas silenciosas de este exploit antes de su corrección? Se estima que miles (hasta millones).

Esta situación evidencia una vez más que ni siquiera los gigantes tecnológicos son inmunes a fallas críticas de seguridad que pueden comprometer la privacidad de millones de usuarios.

About The Author