Google cierra vulnerabilidad en sistema de recuperación de cuentas que permitía ataques masivos para obtener números de teléfono vinculados

TecnologíaGoogle

Google cierra vulnerabilidad en sistema de recuperación de cuentas que permitía ataques masivos para obtener números de teléfono vinculados

Descubre cómo Google eliminó una vulnerabilidad que permitía ataques masivos para obtener información sensible en su sistema de recuperación de cuentas.

Descripción

Una vulnerabilidad en versiones antiguas del sistema de recuperación de cuentas de Google permitió a investigadores realizar ataques de fuerza bruta para obtener los números de teléfono vinculados a una cuenta con solo conocer el nombre del perfil y una fracción del número. Este fallo representaba un riesgo significativo de ataques de phishing y secuestro de SIM, ya que facilitaba la exposición de información sensible mediante técnicas sofisticadas.

El problema residía en un formulario heredado que funcionaba sin JavaScript y carecía de protecciones antiabuso modernas. Los atacantes aprovechaban este formulario mediante solicitudes POST, rotando direcciones IPv6 para evitar límites de tasa y utilizando tokens de BotGuard para esquivar los CAPTCHA. Así conseguían consultar si un número de teléfono estaba asociado a un perfil, formando un método eficaz para ataques masivos.

Para aumentar la precisión, los atacantes podían acceder a la cuenta de un usuario mediante la recuperación, un proceso que permitía obtener la dirección de correo electrónico asociada sin interacción directa. Con esta información, realizaban múltiples consultas para determinar qué números estaban vinculados a ese perfil. Además, retenían datos parciales del número, como los primeros dígitos, obtenidos a través de procesos de recuperación u otros servicios vinculados, facilitando así la identificación específica del teléfono.

Los ataques podían realizarse a velocidades de hasta 40.000 solicitudes por segundo, lo que permitía a los hackers obtener información en poco tiempo: menos de 20 minutos en EE.UU., 4 minutos en Reino Unido y menos de 15 segundos en Países Bajos. Google calificó inicialmente la gravedad de esta vulnerabilidad como media, implementó medidas mitigadoras y descontinuó el endpoint vulnerable en junio de 2025, cerrando definitivamente la brecha. Sin embargo, aún se desconoce si la vulnerabilidad fue explotada maliciosamente antes de su corrección.

La exposición de números de teléfono puede facilitar ataques de vishing y SIM swapping, poniendo en riesgo no solo la privacidad, sino también la seguridad personal y financiera de los usuarios. Por ello, Google tomó conciencia de la gravedad del asunto y priorizó la protección de la ciudadanía mediante la eliminación del endpoint vulnerado y la mejora de sus mecanismos de recuperación de cuenta.