Un investigador de ciberseguridad conocido como BruteCat ha revelado una vulnerabilidad crítica en la infraestructura de Google que permitía a los atacantes obtener los números telefónicos de prácticamente cualquier usuario de los servicios de la compañía. Esta falla de seguridad representaba un riesgo significativo para ataques de phishing dirigido y SIM swapping, técnicas utilizadas por los ciberdelincuentes para comprometer cuentas y robar identidades digitales.
Análisis técnico de la vulnerabilidad explotada
La falla se encontraba en un formulario obsoleto de Google ubicado en accounts.google.com/signin/usernamerecovery, diseñado originalmente para ayudar a los usuarios a verificar la asociación entre direcciones de correo de respaldo o números telefónicos con nombres de cuenta específicos. Este endpoint carecía de las protecciones modernas contra ataques automatizados y funcionaba sin soporte JavaScript.
El investigador logró eludir las defensas básicas contra solicitudes masivas mediante rotación de direcciones IPv6, generando trillones de direcciones IP únicas a través de subredes /64. Para superar los mecanismos CAPTCHA, utilizó tokens BotGuard válidos en el parámetro bgresponse=js_disabled, obtenidos desde formularios con soporte JavaScript habilitado.
Metodología del ataque de fuerza bruta
BruteCat desarrolló una herramienta sofisticada para automatizar el proceso de enumeración de números telefónicos, incorporando varios componentes técnicos especializados. El sistema utilizaba la biblioteca libphonenumber de Google para generar formatos correctos de números telefónicos, incluía una base de datos de máscaras telefónicas internacionales y contaba con scripts automatizados para generar tokens BotGuard mediante Chrome headless.
La eficiencia del ataque era extraordinaria, alcanzando aproximadamente 40,000 solicitudes por segundo. Los tiempos de ejecución variaban según la región objetivo: Estados Unidos requería unos 20 minutos, Reino Unido 4 minutos, Países Bajos menos de 15 segundos, y Singapur menos de 5 segundos para completar la enumeración.
Elusión de protecciones de nombres de usuario
Para ejecutar ataques dirigidos contra usuarios específicos, los atacantes necesitaban conocer el nombre visible (display name) de la víctima. Aunque Google había limitado significativamente el acceso a esta información durante 2023-2024, BruteCat identificó una vía alternativa a través de Looker Studio.
El método consistía en crear un documento en Looker Studio y asignar la propiedad a la víctima utilizando su dirección Gmail, lo que revelaba el nombre visible sin requerir interacción de la víctima. Para refinar la búsqueda entre miles de cuentas con nombres idénticos, se utilizaban números telefónicos parciales obtenidos de la función de recuperación de cuentas de Google, que mostraba los últimos dos dígitos del número asociado.
Cronología del descubrimiento y mitigación
El investigador reportó la vulnerabilidad a través del programa de recompensas por errores de Google en abril de 2024. Inicialmente, la compañía clasificó el riesgo como bajo, pero el 22 de mayo de 2024 elevó la calificación a «medio» e implementó medidas de protección temporales. BruteCat recibió una recompensa de 5,000 dólares por su descubrimiento.
Google cerró definitivamente el endpoint vulnerable el 6 de junio de 2024, deshabilitando completamente el acceso al formulario sin soporte JavaScript. Sin embargo, permanece incierto si actores maliciosos explotaron esta vulnerabilidad antes de su corrección.
Este incidente subraya la importancia crítica de mantener auditorías regulares de componentes web obsoletos y aplicar mecanismos de seguridad modernos en toda la infraestructura tecnológica. Para los usuarios, se recomienda encarecidamente activar la autenticación de dos factores y revisar periódicamente las configuraciones de seguridad de sus cuentas para minimizar la exposición a este tipo de amenazas avanzadas.
