Vulnerabilidad exponía números telefónicos sin alertar a usuarios
Google ha solucionado una grave falla de seguridad en su sistema de recuperación de cuentas que permitía a ciberdelincuentes obtener los números de teléfono vinculados sin que los usuarios afectados recibieran ninguna notificación.
El hallazgo, reportado en abril por el investigador independiente Brutecat, podría haber facilitado robos de identidad y ataques dirigidos, destaca Europa Press.
Método combinaba técnicas para evadir protecciones de Google
La vulnerabilidad explotaba múltiples debilidades en cadena:
- Eludía el sistema BotGuard (protección antibots) al desactivar JavaScript
- Filtraba nombres completos mediante Looker Studio al transferir documentos
- Descubría números telefónicos en solo 5 segundos (para formatos cortos)
Según Brutecat, un atacante podía automatizar el proceso y obtener toda la información en menos de 20 minutos, variando según el país del número.
Google confirmó la solución mediante su portavoz Kimberly Samra, quien destacó la colaboración con investigadores a través de su programa de recompensas por bugs.
Aunque la compañía asegura no haber detectado explotaciones activas de esta falla, el incidente revela los riesgos de los sistemas de recuperación y la necesidad de verificaciones más estrictas.
Los usuarios pueden proteger sus cuentas activando la autenticación en dos pasos y revisando periódicamente sus métodos de recuperación.
