Un reciente informe de BruteCat ha revelado una vulnerabilidad de seguridad crítica en el sistema de recuperación de cuentas de Google. Este fallo permitía a individuos no autorizados obtener números de teléfono de usuarios de Google a través de un sofisticado ataque de fuerza bruta.
La vulnerabilidad, que ya ha sido corregida, se originó en el formulario de recuperación de nombre de usuario de Google que funcionaba sin JavaScript. Esta característica permitió a los atacantes eludir las medidas de seguridad existentes y extraer información personal sensible.
El problema radicaba específicamente en un sistema heredado de recuperación de nombres de usuario que no requería JavaScript. Un investigador de seguridad descubrió que este punto de entrada, aparentemente olvidado, podía ser explotado para confirmar si números de teléfono específicos estaban vinculados a nombres de usuario concretos, lo que facilitaba la enumeración sistemática de números de teléfono de los usuarios.
La metodología del ataque implicó tres pasos clave: primero, obtener el nombre para mostrar de la cuenta de Google del objetivo a través de Looker Studio mediante la transferencia de la propiedad del documento, lo que filtraría el nombre de la víctima sin necesidad de interacción alguna.
En segundo lugar, iniciar el flujo de contraseña olvidada de Google para recuperar una pista de número de teléfono enmascarada, que muestra solo los últimos dígitos. Finalmente, se utiliza una herramienta personalizada llamada «gpb» para aplicar fuerza bruta al número de teléfono completo probando combinaciones con el nombre para mostrar conocido, se lee en el informe de BruteCat.
El investigador superó las protecciones que limitaban las tarifas de Google mediante soluciones técnicas inteligentes. Al utilizar rangos de direcciones IPv6 que proporcionan más de 18 quintillones de direcciones IP únicas, el ataque podría rotar a través de diferentes direcciones para cada solicitud, evitando efectivamente los mecanismos anti-abuso de Google.
Además, el investigador descubrió que los tokens botguard de formularios habilitados para JavaScript podrían reutilizarse para la versión No-JS, eliminando los desafíos de captcha que de otro modo evitarían ataques automatizados.
El ataque demostró ser notablemente eficiente: el investigador logró aproximadamente 40.000 intentos de verificación por segundo utilizando un modesto servidor de 0,30 dólares por hora.
Dependiendo del código de país, se podrían extraer números de teléfono completos en plazos que van desde unos pocos segundos para países más pequeños como Singapur hasta unos 20 minutos para Estados Unidos.
Google fue notificado de la vulnerabilidad el 14 de abril de 2025 y respondió rápidamente implementando mitigaciones temporales mientras trabajaba hacia una solución permanente.
La compañía desaprobó por completo el formulario vulnerable de recuperación de nombre de usuario No-JS antes del 6 de junio de 2025, eliminando efectivamente el vector de ataque.
Google reconoció la gravedad del descubrimiento y otorgó inicialmente 1.337 dólares antes de aumentar la recompensa a 5.000 dólares después de que el investigador apeló, citando la falta de requisitos previos del ataque y su naturaleza indetectable.
Este incidente resalta los continuos desafíos de seguridad que plantean los sistemas heredados y la importancia de realizar auditorías de seguridad integrales en todos los puntos finales de servicio, incluso aquellos aparentemente obsoletos o raramente utilizados.
