Google repara fallo que exponía números de teléfono privados

Un investigador descubrió un bug que permitía acceder a números de recuperación de cuentas de Google. La compañía solucionó el problema en abril tras ser alertada y pagó una recompensa de 5.000 dólares. El fallo podía facilitar ataques como el SIM swap.

«Bingo»: así se burlaron las protecciones de Google

El investigador independiente brutecat logró explotar un error en el sistema de recuperación de cuentas de Google. «Usando una cadena de ataques automatizada, se podía adivinar el número vinculado a una cuenta en menos de 20 minutos», explicó. La técnica combinaba filtraciones de nombres y eludía límites de solicitudes de restablecimiento de contraseñas.

Prueba confirmada

TechCrunch verificó el fallo: creó una cuenta nueva con un número desconocido y brutecat lo identificó correctamente. «Esto permitiría ataques dirigidos, incluso contra cuentas anónimas», advirtió el medio. Google aseguró no haber detectado explotaciones activas antes de la reparación.

Un premio por cerrar la puerta trasera

La compañía agradeció el hallazgo a través de su programa de recompensas por vulnerabilidades. «Corregimos el problema rápidamente para proteger a los usuarios», dijo la portavoz Kimberly Samra. El pago de 5.000 dólares refleja la gravedad del riesgo, que incluía posibles SIM swaps y robos de identidad.

Cuando un número lo es todo

Los números de recuperación son claves para acceder a cuentas bloqueadas. Este fallo, aunque ya solucionado, mostró cómo un eslabón débil puede comprometer la seguridad global. Google reforzó sus sistemas tras el reporte, pero el caso subraya los retos de proteger datos sensibles en entornos interconectados.

Error corregido, lección aprendida

La rápida respuesta de Google evitó daños generalizados, pero el incidente evidencia la constante carrera entre protectores y atacantes en ciberseguridad. Los usuarios deben mantener actualizados sus métodos de autenticación, mientras las plataformas refinan sus mecanismos de defensa.