Seguridad

Detectan un fallo en Gmail que permite robar cualquier cuenta

Correo electronico Gmail
Escrito por David Hernández

Investigador descubre una vulnerabilidad en Gmail relativa al proceso de verificación de cuenta que permite el robo de cuentas ajenas sin grandes conocimientos.

A veces son las propias empresas las que, sin quererlo, abren una puerta trasera para que cualquier hacker pueda entrar a sus servicios, incluso poniendo en jaque información comprometida de los usuarios. Un investigador de seguridad pakistaní ha descubierto una importante vulnerabilidad en Gmail que permite a cualquier persona robar cuentas de correo ajenas sin tener muchos conocimientos de informática.

Las grandes compañías cuentan con programas de recompensas destinados a evitar que vulnerabilidades en sus servicios sean expuestos y aprovechados por los hackers o en el mercado oscuro de la red. El programa de recompensas de Google invita a cualquier persona, especialmente a investigadores de seguridad, a que encuentren cualquier vulnerabilidad en sus servicios a cambio de recompensas de hasta 20.000 dólares.

El pakistaní Ahmed Mehtab, investigador y también CEO de Security Fuss, ha encontrado una vulnerabilidad relativa al proceso de verificación de Gmail que permite a cualquier atacante tomar control de una cuenta deseada.

Las 10 contraseñas que no debes usar si no quieres ser hackeado

Todos sabemos que Google permite a una sola persona asociar todas sus cuentas de correo de Gmail para realizar una serie de acciones conjuntas, incluida la recuperación de cuentas. Pues este proceso de verificación de Gmail es vulnerable pudiendo secuestrar la ID de una cuenta ajena con un sencillo procedimiento.

Lo primero, para que esto sea posible, el destinatario del SMTP no debe estar conectado, o que haya desactivado la cuenta, o que no exista el ID  donde enviar el mensaje de confirmación o que el destinatario haya bloqueado previamente al remitente.

Cómo cancelar o deshacer el envío de un correo electrónico en Gmail

Si se cumple una de ellas, el atacante confirma la propiedad del correo enviando un email a Google, mientras que el buscador enviará una respuesta a dicha dirección para su confirmación. La nueva dirección será incapaz de recibir el correo de confirmación con lo que se devuelve el mensaje al original con un código que podría ser usado por el atacante para acabar el proceso con el robo de cuenta de Gmail.

Artículo publicado en Computerhoy

Sobre el autor de este artículo

David Hernández

Periodista, comunicador y escritor. La tecnología es mi pasión y mi perdición. Redactor de Computerhoy.com y TicBeat.com, firmo también en publicaciones de videojuegos e igualmente me atrevo con los libros. Eso sí, todo junto pero no agitado.