Mas Que Digital

Gmail: Consiguen fallo que permite el robo de todo tipo de cuentas

Con el paso de los años, Gmail ha ido creciendo y se ha ido apoderando del mercado del correo electrónico con una serie de funcionalidades y servicios muy atractivos para todos los usuarios. Sin embargo, no todo son bondades: Gmail tiene sus vulnerabilidades, y recientemente se ha descubierto una que permite el robo de cuentas.

El fallo consiste en una enorme debilidad presente en el proceso de verificación de Gmail que deja la puerta abierta a que cualquier persona, tenga grandes conocimientos en informática o no, pueda apropiarse de cualquier cuenta que desee. Esto representa un gran peligro para los usuarios que utilizan el servicio, y cuya información confidencial se ve seriamente comprometida.

Google, al permitirle a una sola persona asociar todas sus cuentas de correo de Gmail para realizar acciones conjuntas, también está permitiendo que la recuperación de las mismas se maneje igual. Este es el proceso que presenta la vulnerabilidad, pues deja que ajenos se apropien de la ID de una cuenta.

El procedimiento es simple: La persona dispuesta a robar la cuenta solo debe confirmar la propiedad del correo enviando un email a Google. La empresa, por su parte, procederá a enviar una respuesta a dicha dirección para su confirmación. La nueva dirección no podrá ser capaz de recibir esa respuesta, por lo que se devolverá el mensaje al original con un código que, una vez en posesión de él, puede ser usado por la persona para culminar el proceso de robo de la cuenta.

Para que todo lo anterior tenga sentido, primero que nada es necesario que el destinatario del SMTP no esté conectado, haya desactivado la cuenta, no exista el ID donde enviar el mensaje de confirmación o que el destinatario haya bloqueado al remitente con antelación.

El encargado de descubrir la vulnerabilidad fue un experto pakistaní llamado Ahmed Mehtab, investigador y CEO de Security Fuss, y lo ha hecho gracias a los programas de recompensas que aplican grandes empresas como, por ejemplo, Google, los cuales tienen como propósito permitir que cualquier persona (si son investigadores de seguridad, mejor) encuentre fallos en sus servicios a cambio de un premio en metálico, esto con el fin de evitar que dichos fallos sean expuestos y aprovechados por hackers y demás personajes oscuros del mundo de internet.