Seguridad

La seguridad de la página de inicio de Google en entredicho

bug seguridad de Google inicio sesion
Escrito por Iván Muñoz

Aidan Woods, investigador de seguridad, ha localizado un problema en la página de acceso de Google que podría permitir a un hacker para robar fácilmente las contraseñas los usuarios.

Aunque sorprendentemente la compañía no se ha mostrado excesivamente preocupada por esta revelación.

“Espero que la divulgación pública alentará a Google para hacer lo contrario”, comenta Woods antes de explicar cómo funciona este fallo de seguridad de Google en su página personal.

Su descubrimiento es muy sencillo y fácil de llevar a cabo por cualquier persona con ciertos conocimientos y malas intenciones, lo que lo hace más peligroso si cabe.

A la hora de ingresar en la página de acceso de Google esta permite la inserción de un parámetro adicional denominado “continuar” que puede redirigir a los usuarios a cualquier URL, siempre y cuando comience con google.com.

Trucos de Google para hacer más eficientes tus búsquedas

Así, por ejemplo, al añadir a la URL de inicio de sesión este parámetro, tras introducir las credenciales en la verdadera pantalla de inicio de sesión Google, el usuario es redirigido a la página indicada en la URL. Por ejemplo, TICbeat.com si añadimos a la URL de Google “?continue=http://www.google.com/amp/ticbeat.com”

En este ejemplo no pasaría absolutamente nada, pero podría posibilitar que a un ciberdelincuente nos redireccione a, por ejemplo, un formulario ficticio de Google para recopilar información personal, o que a la descarga automática de un archivo malicioso subido a Google Drive. Incluso, un hacker podría redirigir al usuario a un sitio web de apariencia exacta a la pantalla de inicio de sesión Google con un mensaje de “contraseña incorrecta, por favor, inténtelo de nuevo” -para convencer al usuario de volver a introducir sus credenciales.

Puedes ver un ejemplo de cómo funciona el fallo de seguridad en el siguiente vídeo:

Para hacer llegar al usuario el enlace manipulado, nada más sencillo que una campaña de phising enmascara con la imagen de Google.

En una entrada publicado el pasado sábado en su página personal, Aidan describe como tras avisar al departamento de seguridad de Google su hallazgo, éstos le indicaron que no podrían catalogarlo como un fallo de seguridad.

La posibilidad de realizar este tipo de redirecciones todavía existe, y Google no ha tomado cartas en el asusto. En declaraciones a Business Insider un portavoz de la compañía comentó: “ Permitimos estas redirecciones para que un usuario pueda conectarse con sus credenciales de Google desde un sitio de confianza, acceder a su cuenta, y finalmente ser redirigido de nuevo a la misma página que estaban en un principio”.

Pese a no mostrar preocupación por el tema, la propia compañía advierte: “Aún así, los usuarios deben tener cuidado cuando se les pide que vuelva a introducir su contraseña. Si se le pide dar su contraseña u otra información personal, comprueben la URL y asegúrense de que todavía están viniendo Google.com. Si no es así, es posible que estés sufriendo un ataque”.

Sobre el autor de este artículo

Iván Muñoz

Enganchado al mundo de la tecnología desde que conecté por primera vez mi Amstrad CPC 464. Programador en el olvido, y antiguo redactor jefe de Personal Computer & Internet, sigo al pie del cañón como Web Manager de Computerhoy.com y TicBeat.com.