{"id":108396,"date":"2025-06-10T14:16:42","date_gmt":"2025-06-10T14:16:42","guid":{"rendered":"https:\/\/www.xatakandroid.com\/seguridad\/error-permitia-descubrir-numero-movil-asociado-a-cualquier-cuenta-google-solo-hacian-falta-unos-minutos"},"modified":"2025-06-10T14:16:42","modified_gmt":"2025-06-10T14:16:42","slug":"un-error-permitia-descubrir-el-numero-de-movil-asociado-a-cualquier-cuenta-de-google-solo-hacian-falta-unos-minutos","status":"publish","type":"post","link":"http:\/\/cordobateve.net\/index.php\/2025\/06\/10\/un-error-permitia-descubrir-el-numero-de-movil-asociado-a-cualquier-cuenta-de-google-solo-hacian-falta-unos-minutos\/","title":{"rendered":"Un error permit\u00eda descubrir el n\u00famero de m\u00f3vil asociado a cualquier cuenta de Google. Solo hac\u00edan falta unos minutos"},"content":{"rendered":"<p>Acabamos de conocer la existencia de una vulnerabilidad en las cuentas de Google que permit\u00eda que cualquiera con los conocimientos necesarios pudiese averiguar el n\u00famero de tel\u00e9fono asociado a una cuenta en cuesti\u00f3n de minutos, lo que nos permite hacernos una idea de los riesgos para los usuarios. <strong>Lo \u00fanico necesario era el nombre del perfil y un fragmento del n\u00famero<\/strong> asociado a la cuenta, como los dos \u00faltimos d\u00edgitos que Google nos muestra el tratar de recuperar nuestra contrase\u00f1a.<\/p>\n<p><!-- BREAK 1 --> <\/p>\n<p>El fallo en cuesti\u00f3n fue descubierto por un investigador conocido como <a rel=\"noopener, noreferrer\" href=\"https:\/\/brutecat.com\/\">BruteCat<\/a>, que se puso en contacto con Google para informar de la vulnerabilidad. La compa\u00f1\u00eda ha confirmado que el problema ya est\u00e1 solucionado y aunque <strong>no hay constancia de que el fallo haya sido explotado<\/strong>, desde el medio especializado Bleeping Computer <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/google-patched-bug-leaking-phone-numbers-tied-to-accounts\/\">explican<\/a> que la filtraci\u00f3n de n\u00fameros de tel\u00e9fono puede hacer a los usuarios m\u00e1s propensos a ataques de \u2018<a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/seguridad\/que-vishing-que-consiste-timo-doble-llamada-que-han-alertado-ocu-guardia-civil\" data-vars-post-title=\"Qu\u00e9 es el &quot;vishing&quot; y en qu\u00e9 consiste el timo de la doble llamada del que han alertado la OCU y la Guardia Civil\" data-vars-post-url=\"https:\/\/www.xataka.com\/seguridad\/que-vishing-que-consiste-timo-doble-llamada-que-han-alertado-ocu-guardia-civil\">vishing<\/a>\u2019 o de \u2018<a class=\"text-outboundlink\" href=\"https:\/\/www.xatakamovil.com\/seguridad\/que-sim-swapping-como-puedes-evitar-que-te-estafen-este-metodo-1\" data-vars-post-title=\"Qu\u00e9 es SIM Swapping y c\u00f3mo puedes evitar que te estafen con este m\u00e9todo \" data-vars-post-url=\"https:\/\/www.xatakamovil.com\/seguridad\/que-sim-swapping-como-puedes-evitar-que-te-estafen-este-metodo-1\">SIM swapping<\/a>\u2019.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<h2>Google ha recompensado con 5.000 d\u00f3lares a la persona que descubri\u00f3 la vulnerabilidad<\/h2>\n<p>El investigador que descubri\u00f3 el fallo en los sistemas de Google ha compartido los detalles de la vulnerabilidad en un <a rel=\"noopener, noreferrer\" href=\"https:\/\/brutecat.com\/articles\/leaking-google-phones\">articulo<\/a> publicado en su p\u00e1gina web, donde explica que <strong>la descubri\u00f3 al desactivar Javascript en el navegador<\/strong> con el objetivo de comprobar si hab\u00eda alg\u00fan servicio de Google que a\u00fan funcionase sin necesidad de usar esta tecnolog\u00eda. Para su sorpresa, el formulario de recuperaci\u00f3n de la cuenta de Google funcionaba sin problemas.<\/p>\n<p><!-- BREAK 3 --> <\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\"> <a href=\"https:\/\/www.xatakandroid.com\/seguridad\/tu-tele-tv-box-android-te-pide-desactivar-play-protect-teme-ella-millones-se-han-infectado-badbox\" class=\"pivot-outboundlink\" data-vars-post-title=\"Millones de TV Box y teles Android baratas son un caballo de Troya: vienen con un malware de f\u00e1brica\"> <img loading=\"lazy\" alt=\"Millones de TV Box y teles Android baratas son un caballo de Troya: vienen con un malware de f\u00e1brica\" width=\"375\" height=\"142\" src=\"http:\/\/cordobateve.net\/wp-content\/uploads\/2025\/06\/un-error-permitia-descubrir-el-numero-de-movil-asociado-a-cualquier-cuenta-de-google-solo-hacian-falta-unos-minutos.jpg\"> <\/a> <\/div><\/div><\/div>\n<\/div>\n<p>Para hacerse con el nombre de la persona cuyo n\u00famero quer\u00eda averiguar, BruteCat descubri\u00f3 que pod\u00eda hacer uso de la herramienta de visualizaciones de informaci\u00f3n empresarial \u2018Looker Studio\u2019, propiedad de Google. Al crear un documento y transferirlo a la v\u00edctima, <strong>el nombre de esta \u00faltima aparec\u00eda en pantalla<\/strong> incluso aunque la persona no hubiese aceptado la transferencia. Una vez con el nombre en su poder, solo hac\u00eda falta acceder al formulario de recuperaci\u00f3n de una cuenta de Google para conseguir dos d\u00edgitos del tel\u00e9fono asociado a la cuenta.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p>Haciendo uso de una t\u00e9cnica de fuerza bruta, el investigador encontr\u00f3 la forma de averiguar el n\u00famero de tel\u00e9fono de recuperaci\u00f3n completo vinculado a una cuenta de Google. Para lograrlo se saltaba los sistemas de protecci\u00f3n de la compa\u00f1\u00eda (como los CAPTCHAs y los l\u00edmites en el sistema de peticiones) y generaba posibles n\u00fameros utilizando una librer\u00eda p\u00fablica de Google. El investigador enviaba hasta 40.000 peticiones por segundo, lo que <strong>le permit\u00eda descubrir un n\u00famero completo en un m\u00e1ximo de 20 minutos.<\/strong><\/p>\n<p><!-- BREAK 5 --><\/p>\n<p>BruteCat explica que el tiempo necesario para descubrir un n\u00famero en cuesti\u00f3n variaba dependiendo del pa\u00eds: mientras que en Estados Unidos hac\u00edan falta 20 minutos, en pa\u00edses como Reino Unido, Pa\u00edses Bajos o Singapur bastaba con mucho menos tiempo (4 minutos, 15 segundos y 5 segundos, respectivamente). El investigador report\u00f3 el problema el 14 de abril de este mismo a\u00f1o y recibi\u00f3 5.000 d\u00f3lares a cambio de su aportaci\u00f3n. <strong>La compa\u00f1\u00eda ha confirmado que la vulnerabilidad est\u00e1 solucionada<\/strong> desde el pasado 6 de junio, por lo que ya no hay forma de explotarla y nuestros datos est\u00e1n seguros.<\/p>\n<p><!-- BREAK 6 --> <\/p>\n<p>Imagen de portada | Daniel Romero (<a rel=\"noopener, noreferrer\" href=\"https:\/\/unsplash.com\/es\/fotos\/persona-sosteniendo-un-telefono-inteligente-android-negro-Z9fW8Nn7D24\">Unsplash<\/a>)<\/p>\n<p>En Xataka Android | <a class=\"text-outboundlink\" href=\"https:\/\/www.xatakandroid.com\/seguridad\/me-obsesiona-seguridad-mi-cuenta-gmail-seis-sencillos-ajustes-que-hago-para-olvidarme-problemas\" data-vars-post-title=\"Me obsesiona la seguridad de mi cuenta de Gmail: seis sencillos ajustes que hago para olvidarme de problemas \" data-vars-post-url=\"https:\/\/www.xatakandroid.com\/seguridad\/me-obsesiona-seguridad-mi-cuenta-gmail-seis-sencillos-ajustes-que-hago-para-olvidarme-problemas\">Me obsesiona la seguridad de mi cuenta de Gmail: seis sencillos ajustes que hago para olvidarme de problemas<\/a><\/p>\n<p>En Xataka Android | <a class=\"text-outboundlink\" href=\"https:\/\/www.xatakandroid.com\/tutoriales\/que-malware-que-tipos-hay-que-puedes-hacer-infecta-tu-movil\" data-vars-post-title=\"Qu\u00e9 es el malware, qu\u00e9 tipos hay y qu\u00e9 puedes hacer si infecta tu m\u00f3vil\" data-vars-post-url=\"https:\/\/www.xatakandroid.com\/tutoriales\/que-malware-que-tipos-hay-que-puedes-hacer-infecta-tu-movil\">Qu\u00e9 es el malware, qu\u00e9 tipos hay y qu\u00e9 puedes hacer si infecta tu m\u00f3vil<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Acabamos de conocer la existencia de una vulnerabilidad en las cuentas de Google que permit\u00eda que cualquiera con los conocimientos necesarios pudiese averiguar el n\u00famero de tel\u00e9fono asociado a una cuenta en cuesti\u00f3n de minutos, lo que nos permite hacernos una idea de los riesgos para los usuarios. Lo \u00fanico necesario era el nombre del [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108397,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[19],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/posts\/108396"}],"collection":[{"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/comments?post=108396"}],"version-history":[{"count":0,"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/posts\/108396\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/media\/108397"}],"wp:attachment":[{"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/media?parent=108396"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/categories?post=108396"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobateve.net\/index.php\/wp-json\/wp\/v2\/tags?post=108396"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}