Una vulnerabilidad en Gmail que Google prefiere ignorar

Vicente Aguilera, ingeniero informático de ISecAuditors, ha decidido publicar cómo aprovechar un agujero de seguridad que encontró en Gmail para cambiar la contraseña de un usuario sin su consentimiento, con el consecuente peligro de robo de identidad y acceso a información confidencial que eso conlleva.

Aguilera asegura que informó a Google el 1 de agosto de 2007 y, tras una respuesta solicitando información adicional para analizar el problema y otra 15 días más tarde para informar que estaban trabajando en solucionarlo, el buscador no volvió a contactar con él hasta cinco meses después. El 18 de enero, Google contestó a uno de sus correos (en los que solicitaba información sobre el avance del parche para corregir el problema) indicando que el equipo de seguridad de Google no tenía pensado hacer modificaciones al respecto. “Consideramos estos argumentos insuficientes”, dijeron. Tras nuevos intentos de contacto para exigir un arreglo del problema, ayer decidió hacerlo público.

Como explica el propio informático, se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante modificar la contraseña de un usuario de Gmail sin su conocimiento.

Según Aguilera, el único modo para autentificar el usuario es mediante una cookie que es enviada automáticamente por el navegador en cada solicitud. Un atacante puede crear una página que incluye las solicitudes de la funcionalidad de Gmail de “Cambiar contraseña ” y modificar las contraseñas de los usuarios, quienes, siendo autorizados, visitarían la página del atacante.

Actualización: Google ha respondido a esta noticia indicando que tiene constancia de esta vulnerabilidad, pero no la considera “significativa” porque para explotarla con éxito sería necesario adivinar correctamente la contraseña de un usuario en el periodo de tiempo que dicho usuario estuviese visitando la website de un potencial atacante.

Además, la compañía asegura que no ha recibido ningún informe indicando que esto haya sucedido, pero a pesar de las “escasas posibilidades” existentes de obtener una contraseña válida de esta forma, seguirá trabajando para solucionarlo.

La empresa insiste en que siempre anima a sus usuarios a escoger contraseñas robustas, ayudando a seleccionarla mediante un indicador.

Álvaro Torralbo

Recent Posts

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

5 horas ago

Cloud Expo evoluciona a Cloud & AI Infrastructure

Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…

6 horas ago

DES2025 se centrará en la IA y ofrecerá una zona de experiencia tecnológica

El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…

7 horas ago

Snowflake llega a un acuerdo con Datavolo para su adquisición

Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…

7 horas ago

NetApp aumenta un 6 % sus ingresos trimestrales

Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…

8 horas ago

Denodo Platorm 9.1 estrena asistente de inteligencia artificial

También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…

9 horas ago