Una falla de seguridad descubierta en YouTube podría haber expuesto las direcciones de correo electrónico de millones de usuarios, poniendo en riesgo la privacidad de creadores de contenido, activistas y otras personas que dependen del anonimato para su seguridad.
La buena noticia es que Google, propietario de YouTube, corrigió el problema después de ser alertado por investigadores de seguridad cibernética.
Todo comenzó cuando los investigadores Brutecat y Nathan descubrieron que, al bloquear a un usuario en YouTube, se revelaba un identificador interno de Google, llamado Gaia ID.
Este código es único para cada usuario y se utiliza en todos los servicios de Google, como Gmail y Google Drive. El problema es que no debería ser accesible públicamente.
Con el Gaia ID en mano, los investigadores lograron ir más allá: descubrieron una manera de vincular este código con la dirección de correo electrónico del usuario.
Para probar la falla, los investigadores utilizaron un método creativo. Exploraron brechas en productos antiguos de Google, como la aplicación Recorder para teléfonos Pixel.
Al compartir un archivo con un Gaia ID oculto, renombraron el archivo con un nombre absurdamente largo (¡2,5 millones de caracteres!), lo que hizo que el sistema de notificaciones por correo electrónico «se rompiera».
Con esto, demostraron que era posible convertir el Gaia ID en un correo electrónico real sin que el usuario fuera notificado.
Google fue informado sobre la vulnerabilidad en septiembre de 2024, pero la corrección solo se completó en febrero de 2025.
A pesar del tiempo de exposición, la empresa afirmó que no hay indicios de que la falla haya sido explotada por hackers. Como recompensa, los investigadores recibieron más de 10.000 dólares por su trabajo.
