Google corrige grave vulnerabilidad que permitía forzar números de recuperación

Google ha corregido una grave vulnerabilidad en su sistema de recuperación de cuentas, que permitía a actores maliciosos realizar ataques de fuerza bruta para obtener el número de teléfono de recuperación asociado a una cuenta de Google. El fallo de seguridad, descubierto por el investigador conocido como brutecat, podría haber sido utilizado para comprometer la privacidad de millones de usuarios en todo el mundo.

Cómo funcionaba la vulnerabilidad en la recuperación de cuentas de Google

El exploit se basaba en una versión obsoleta y sin JavaScript del formulario de recuperación de nombre de usuario, alojado en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.]com/signin/usernamerecovery. Esta versión carecía de mecanismos antiabuso fundamentales como CAPTCHAs eficaces o límites de tasa de solicitudes, lo que facilitaba automatizar pruebas con distintas combinaciones de números de teléfono.

La funcionalidad afectada permite a los usuarios verificar si un correo electrónico o número de teléfono de recuperación están asociados a un nombre para mostrar. Sin embargo, el sistema podía ser manipulado para que un atacante, con suficientes intentos, adivinara el número de teléfono exacto en cuestión de segundos o minutos, dependiendo del país y la longitud del número.

Cadena de explotación: paso a paso

El proceso para explotar esta vulnerabilidad constaba de los siguientes pasos:

• Filtrar el nombre completo de la víctima mediante la creación de un documento en Looker Studio y su transferencia, provocando que el nombre del destinatario se mostrara en la pantalla.
• Utilizar el flujo "Olvidé mi contraseña" de Google para obtener los últimos dos dígitos del número de teléfono asociado a la cuenta objetivo.
• Realizar fuerza bruta del número completo mediante el formulario vulnerable hasta adivinar los dígitos restantes.

Según el investigador, un número con código de país de Singapur podía obtenerse en solo 5 segundos, mientras que para un número estadounidense el tiempo estimado era de aproximadamente 20 minutos.


Riesgos asociados: desde intercambio de SIM hasta toma de control de cuentas

Con acceso al número de teléfono completo de recuperación, un atacante podría lanzar un ataque de SIM swapping (intercambio de SIM), tomar el control del número y, desde allí, restablecer la contraseña de la cuenta de Google u otros servicios que dependan del mismo número para autenticación.

Este tipo de ataque representa una amenaza crítica, especialmente para:

• Periodistas
• Creadores de contenido
• Activistas
• Empresarios o empleados con acceso a información sensible

Reacción de Google: mitigación y recompensas

Google recibió el informe de vulnerabilidad el 14 de abril de 2025 y, como parte de su programa de recompensas por errores, otorgó a brutecat 5.000 dólares por la divulgación responsable. Para mitigar la vulnerabilidad, Google eliminó completamente la versión sin JavaScript del formulario de recuperación de nombre de usuario a partir del 6 de junio de 2025.

Esta solución definitiva ha cerrado el vector de ataque, fortaleciendo el sistema de recuperación de cuentas para todos los usuarios.

Otras vulnerabilidades recientes descubiertas por brutecat

El investigador brutecat ya es conocido por haber reportado otras fallas de seguridad de alto impacto en el ecosistema de Google. Entre ellas:

• Enero de 2025: Descubrió una vulnerabilidad que permitía revelar la dirección de correo electrónico de cualquier propietario de canal de YouTube, mediante el encadenamiento de errores en la API de YouTube y la API del Pixel Recorder. Fue recompensado con 10.000 dólares.
• Marzo de 2025: Reveló un problema de control de acceso en el endpoint /get_creator_channels, que exponía la dirección de correo electrónico y detalles de monetización de cualquier canal del Programa de Socios de YouTube (YPP). Recibió una recompensa de 20.000 dólares.

Google reconoció públicamente que el fallo permitía desanonimizar a creadores de contenido o incluso suplantarlos, violando así las expectativas de privacidad y anonimato dentro de la plataforma.

La importancia de la seguridad en funciones de recuperación

Este caso destaca la vulnerabilidad inherente a los sistemas de recuperación de cuentas cuando no están debidamente protegidos frente a automatización y fuerza bruta. Aunque la funcionalidad estaba destinada a mejorar la experiencia del usuario, su diseño deficiente abrió una puerta crítica a la exposición de datos sensibles.

La rápida respuesta de Google demuestra la eficacia del modelo de divulgación responsable y recompensa de vulnerabilidades, aunque también subraya la necesidad de que las grandes plataformas evalúen constantemente el impacto de funciones legadas u obsoletas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta