El 16 de enero de 2025, un nuevo informe de seguridad reveló una grave vulnerabilidad en el flujo de autenticación de “Iniciar sesión con Google”, descubierta por investigadores de seguridad, que podría permitir a los atacantes acceder a datos sensibles de millones de cuentas.
Esta vulnerabilidad se basa en la forma en que Google utiliza el sistema de autenticación OAuth, y cómo puede ser explotada por atacantes que se apoderan de dominios de empresas que ya no existen.
La vulnerabilidad de “Iniciar sesión con Google”
Dylan Ayrey, CEO y cofundador de Trufflesecurity, fue quien descubrió y demostró esta falla, la cual permite a los atacantes acceder a cuentas de antiguos empleados mediante el uso de dominios de empresas que han dejado de operar.
La investigación mostró cómo la compra de un dominio de una empresa fallida puede habilitar a los atacantes para recrear cuentas de correo electrónico de ex empleados, lo que les otorga acceso a servicios como ChatGPT, Notion, Slack, y Zoom, además de sistemas de recursos humanos con información sensible, como documentos fiscales y números de seguridad social.
El problema radica en las “declaraciones” enviadas por Google cuando un usuario hace clic en el botón de “Iniciar sesión con Google” para acceder a un servicio.
Estas declaraciones incluyen el dominio y la dirección de correo electrónico del usuario, datos que los proveedores de servicios utilizan para conceder acceso. Sin embargo, si el servicio depende únicamente de estos datos, cualquier cambio de propiedad de dominio no sería detectado.
De este modo, si un atacante compra un dominio de una empresa que ya no opera, hereda esas mismas declaraciones, lo que les permite acceder a las cuentas de empleados anteriores.
Respuesta de Google
El 30 de septiembre de 2024, Ayrey reportó el problema a Google, pero inicialmente fue marcado como “no se puede solucionar” el 2 de octubre. Sin embargo, tras demostrar la vulnerabilidad en una conferencia de seguridad en diciembre, Google reabrió el caso y otorgó una pequeña recompensa de $1337, una cifra que hace referencia a la jerga hacker “elite”.
Aunque Google está trabajando en una solución, todavía no está claro si se implementará la sugerencia de Ayrey, que consiste en añadir identificadores únicos e inmutables que no cambien con el tiempo.
En respuesta al informe, Google emitió una declaración en la que agradece a Ayrey por identificar los riesgos asociados con la falta de eliminación adecuada de servicios SaaS de terceros por parte de los clientes al cerrar una empresa.
Además, recomienda a los clientes cerrar correctamente los dominios siguiendo sus instrucciones para evitar este tipo de problema.
La empresa también aconsejó a las aplicaciones de terceros usar identificadores únicos de cuenta (el campo “sub”) para mitigar el riesgo.
Posibles riesgos para los usuarios
Es importante destacar que la vulnerabilidad no afecta los datos almacenados en Google, sino que compromete los datos almacenados en plataformas de terceros que usan el sistema de autenticación de Google.
No obstante, los socios de Google han implementado medidas de protección para evitar este tipo de riesgos, como el borrado de todos los datos de los clientes al cerrar una cuenta y el uso del campo “sub” como identificador único para cada usuario, lo que garantiza que los datos específicos de un usuario no puedan ser accedidos por otra entidad.
Conclusión
Aunque Google ha defendido la seguridad de sus sistemas, la vulnerabilidad demuestra la importancia de revisar cómo los servicios de terceros gestionan los accesos y protegen los datos.
La situación subraya la necesidad de evaluar rigurosamente los métodos de autenticación de terceros y garantizar que los datos personales estén protegidos, incluso cuando no se almacenen directamente en Google.