Parece una escena sacada de una peli de hackers, pero esto fue muy real: un investigador de seguridad, conocido como brutecat, logró averiguar el número de teléfono asociado a cualquier cuenta de Google.
Te puede interesar: [¿Rompió el internet? Chrome logró su puntuación más alta de la historia en velocidad web]
Sí, incluso el tuyo. Todo esto usando un método que, aunque ya fue corregido, era más sencillo de lo que uno quisiera creer.
El hallazgo que puso a temblar a más de uno
Según el propio brutecat, esta vulnerabilidad era “una mina de oro para los SIM swappers”. ¿Quiénes son ellos? Básicamente, hackers que secuestran tu número telefónico para recibir tus mensajes y llamadas.
Con eso, pueden entrar a tus cuentas, pedir códigos de verificación y, con un poco de suerte (para ellos), robar tu identidad digital.
El método era bastante creativo, por no decir retorcido: solo necesitaban tu nombre visible en Google (el que aparece en Drive o Gmail, por ejemplo), transferían un documento de Looker Studio con un truco que impedía que recibieras notificación, y luego… a probar millones de combinaciones hasta que daban con tu número.
Probado, real y aterradoramente eficiente
Brutecat probó el método con uno de los correos de 404 Media y en menos de seis horas devolvió el número completo asociado a esa cuenta. Para números de EE.UU., dijo que el proceso tardaba alrededor de una hora. Para números del Reino Unido, solo 8 minutos.
Y en otros países… menos de un minuto. Sin notificación alguna para la víctima.
En un video explicativo, se ve cómo todo esto ocurre en segundo plano sin que el usuario se entere. Todo, gracias a una combinación de Looker Studio, nombres de documentos absurdamente largos, y código personalizado.
Google reacciona: gracias por avisar, aquí tienes $5,000
Afortunadamente, Google ya solucionó el problema y agradeció al investigador a través de su programa de recompensas por vulnerabilidades. Le dieron $5,000 y algo de swag, como quien dice: gracias por mostrar que estábamos al borde del desastre.
Al principio, Google consideró la vulnerabilidad de bajo riesgo, pero después actualizó el nivel a “medio”. Menos mal que lo hicieron.
¿Qué se puede hacer con tu número?
Mucho más de lo que parece. Los SIM swappers pueden llamar a tu compañía de teléfono y hacerse pasar por ti. Si logran que les asignen tu número a una SIM en su poder, pueden recibir códigos de verificación, reiniciar contraseñas, y acceder a cuentas de email, bancos, redes sociales… todo.
Te puede interesar: [El mayor enemigo de las apps en los teléfonos son las molestosas ventanas emergentes, dice un estudio]
Por eso el FBI recomienda no compartir tu número públicamente. Ni en redes sociales, ni en perfiles públicos, ni como firma de correo. Cuanto más difícil sea encontrarte, mejor.
