Un investigador de ciberseguridad, conocido como "brutecat", ha revelado una vulnerabilidad crítica en el sistema de recuperación de cuentas de Google que permitía la exposición de números de teléfono vinculados a las cuentas de usuario mediante un ataque de fuerza bruta. Google ya ha corregido el fallo, gracias a esta colaboración con la comunidad de investigadores en seguridad.

La vulnerabilidad, descubierta por brutecat y confirmada por otras fuentes, explotaba un mecanismo obsoleto de recuperación de cuentas que operaba sin las protecciones modernas de JavaScript. Esto permitió a un atacante, con el nombre de visualización de una cuenta de Google, obtener el número de teléfono asociado en cuestión de minutos u horas, dependiendo del país.

¿Cómo funcionaba?

Según brutecat, el ataque implicaba una cadena de varios procesos coordinados:

1. Obtención del nombre de visualización: el atacante podía filtrar el nombre completo de la cuenta de Google de la víctima a través de una función de Google Looker Studio, transfiriendo la propiedad de un documento.
2. Omisión de protecciones: se utilizaban dos solicitudes HTTP específicas para verificar si un número de teléfono estaba vinculado a una cuenta de Google, sorteando las restricciones basadas en IP y las protecciones CAPTCHA mediante la rotación de direcciones IPv6 y el uso de un token BotGuard.
3. Fuerza bruta: una vez obtenida una pista del número de teléfono (por ejemplo, los dos últimos dígitos), el atacante podía usar una herramienta de fuerza bruta para probar todas las combinaciones posibles y revelar el número completo.

Los tiempos de ataque variaban: un número de Singapur podía ser expuesto en tan solo 5 segundos, mientras que para un número de EEUU se requerían aproximadamente 20 minutos, y para el Reino Unido, alrededor de 4 minutos. Todo esto podía lograrse con un costo de hardware muy bajo, de aproximadamente 0,30 dólares por hora.

Riesgos y consecuencias

La exposición de números de teléfono vinculados a cuentas de Google representaba un riesgo significativo para la privacidad y seguridad de los usuarios. Entre las posibles consecuencias se incluían:

• Violaciones masivas de la privacidad: exponiendo números de teléfono personales.
• Mayor riesgo de ataques de phishing y estafas: los atacantes podrían usar los números para parecer más confiables.
• Posibles secuestros de cuentas (SIM swapping): con el número de teléfono, un atacante podría restablecer contraseñas de otras cuentas asociadas y tomar el control.

Reacción de Google

Tras ser informado en abril, Google actuó rápidamente para mitigar la vulnerabilidad, implementando correcciones en mayo y principios de junio. Inicialmente, la recompensa otorgada a brutecat fue de 1.337 dólares, pero Google la incrementó a 5.000 dólares, tras reconocer la gravedad potencial del problema. 

Un portavoz de Google, Kimberly Samra, declaró: "Siempre hemos enfatizado la importancia de trabajar con la comunidad de investigación de seguridad a través de nuestro programa de recompensas por vulnerabilidades y queremos agradecerle al investigador haber señalado este problema." La compañía ha confirmado que no hay evidencia de que esta vulnerabilidad haya sido explotada en ataques reales.

Este incidente enfatiza la importancia de la colaboración entre empresas tecnológicas y la comunidad de investigadores en seguridad para proteger la información de los usuarios en un panorama de amenazas que evolucionan constantemente.