Un investigador de seguridad descubrió una falla preocupante en el sistema de recuperación de cuentas de Google que permitía revelar el número de teléfono vinculado a una cuenta sin que el propietario fuera notificado.
El problema, que podría facilitar estafas e invasiones, ya fue corregido por la empresa tras la alerta.
El error fue identificado por un experto independiente, conocido como brutecat, quien explicó cómo explotó una brecha en el proceso de recuperación de contraseña de Google.
Combinando técnicas, logró eludir las protecciones de la plataforma y probar diversas combinaciones de números hasta descubrir el correcto.
En pruebas, el investigador tardó menos de 20 minutos en encontrar un número de teléfono asociado a una cuenta específica.
Para confirmar la falla, TechCrunch creó una cuenta de Google con un número nuevo y proporcionó solo el correo electrónico al investigador. Minutos después, este respondió con el número exacto registrado, mostrando el riesgo real.
Si fuera explotada por criminales, esta vulnerabilidad podría ser utilizada en ataques como el SIM swap, donde el estafador asume el control del número para acceder a cuentas bancarias, redes sociales y otros servicios vinculados.
Google agradeció al investigador por la alerta y afirmó que no hay evidencia de que la falla haya sido utilizada por terceros.
La empresa también recompensó a brutecat con US$ 5,000 a través de su programa de recompensas por errores.
