Un especialista en ciberseguridad le sacó 5.000 dólares a Google, gracias al hallazgo de una falla que podría haber sido explotada para revelar los números telefónicos de los usuarios y canalizar ataques. En rigor, el investigador obtuvo una recompensa por su trabajo: es un clásico caso de hacking de “sombrero blanco”.
¿Qué son los “hackers de sombrero blanco”?
También conocimos como “hackers éticos”, son expertos en informática que vulneran sistemas para exponer problemas de seguridad y evitar que verdaderos cibercriminales exploten esas brechas, informando a las compañías responsables de los programas afectados para que lancen parches.
Por esto, es importante no usar como sinónimos los términos “hacker” y “ciberdelincuente” o “pirata informático”. En este sentido, el hacking es una habilidad que no necesariamente se emplea para dañar, estafar o extorsionar. Así, a la ciberdelincuencia se le coloca el “sombrero negro”.
¿Cómo era la falla en Google que exponía a los usuarios?
Conocido con el seudónimo “brutecat”, el investigador encontró un agujero de seguridad en las cuentas de Google que exponía los números telefónicos de los usuarios (que se usan para recuperación) sin que las potenciales víctimas sean alertadas.
Leé también: Una brecha en Chrome permitió el robo de datos bancarios a usuarios de América Latina: cómo protegerse
Desde Google confirmaron que corrigieron esta falla en abril, después de recibir el informe del especialista. Según explican TechCrunch, la vulnerabilidad se basaba en varios procesos individuales que trabajaban en conjunto, incluyendo la filtración del nombre completo y la evasión de un mecanismo de protección contra bots que Google implementó para frenar el spam malicioso.
“Al automatizar la cadena de ataque con un script (secuencia de instrucciones), el investigador afirmó que era posible acceder por fuerza bruta al teléfono de recuperación del titular de una cuenta de Google en 20 minutos o menos, dependiendo de la longitud del número”, observa la fuente.
Esta detección, por la que “brutecat” obtuvo una recompensa de 5.000 dólares, es relevante porque si un ciberdelincuente consigue números telefónicos asociados a cuentas de Google puede realizar ataques dirigidos, por ejemplo robos de identidad o restablecer contraseñas para apoderarse de cuentas, entre otras acciones.
La respuesta de Google tras la divulgación del hallazgo
“Este problema ya se ha solucionado. Siempre hemos enfatizado la importancia de colaborar con la comunidad a través de nuestro programa de recompensas por vulnerabilidades y queremos agradecer al investigador por informar sobre este problema”, dijo un vocero de la compañía del buscador. “Este tipo de informes de investigadores son una de las muchas maneras en que podemos encontrar y solucionar rápidamente problemas para la seguridad de nuestros usuarios”, cerró.
Finalmente, desde Google señalaron que por el momento no encontraron ataques relacionados con la falla descubierta.
