Falla tecno: Error de Google que podría haber expuesto miles de números privados

Ay, Google.

¿Creías que tu número de recuperación en Google era seguro? Te equivocaste. Durante meses, un error crítico en el sistema de la empresa permitió que cualquier persona con conocimientos técnicos pudiera acceder a números telefónicos privados de usuarios, sin que estos se dieran cuenta del ataque. Ardió el mundo tecno.

image.png

Quizás te interese leer: WhatsApp incorporará una nueva función para evitar el spam: De qué se trata

Tu privacidad en jaque mate gracias a Google

La vulnerabilidad, descubierta por el investigador independiente brutecat, funcionaba como una bomba de tiempo digital. El experto logró desarrollar un método que explotaba múltiples fallas en el sistema de recuperación de cuentas, burlando incluso las protecciones anti-spam implementadas por Google.

El proceso era terriblemente eficiente: mediante un script automatizado, el atacante podía forzar todas las combinaciones posibles de números telefónicos hasta dar con el correcto. En el peor de los casos, esto tomaba apenas 20 minutos, dependiendo de la longitud del número objetivo.

image.png

Esta falla representaba mucho más que una simple filtración de datos. Los números de teléfono son la llave maestra de la seguridad digital moderna.

TechCrunch decidió poner a prueba el método del investigador. Crearon una cuenta nueva con un número nunca antes utilizado y proporcionaron únicamente la dirección de email a brutecat. El resultado fue devastador: en poco tiempo, el hacker respondió con el número telefónico exacto acompañado de un simple "bingo :)".

Con esta información, los ciberdelincuentes pueden ejecutar ataques de intercambio de SIM, apropiándose del número para recibir códigos de verificación y resetear contraseñas de múltiples servicios.

Google reacciona tarde pero seguro

Tras ser alertada en abril, Google finalmente solucionó el problema. Kimberly Samra, portavoz de la compañía, confirmó que no detectaron explotación masiva de esta vulnerabilidad, aunque el daño potencial era enorme.

Embed - Leaking the phone number of any Google user ($5k bounty)

La empresa compensó al investigador con 5.000 dólares a través de su programa de recompensas por vulnerabilidades. Sin embargo, queda la pregunta incómoda: ¿cuántos usuarios fueron víctimas silenciosas de este exploit antes de su corrección? Se estima que miles (hasta millones).

Esta situación evidencia una vez más que ni siquiera los gigantes tecnológicos son inmunes a fallas críticas de seguridad que pueden comprometer la privacidad de millones de usuarios.

-----------------------------------------------------------------