En muchas ocasiones, las organizaciones optan por utilizar Google OAuth como método de autenticación para sus usuarios. Esto se debe a la creencia común de que Google posee un alto nivel de seguridad y fiabilidad, lo que lleva a pensar que su decisión sobre si conceder o no acceso a un usuario es prácticamente infalible.
Sin embargo, es importante destacar que esta confianza ciega en la opción "Iniciar sesión con Google" puede ser peligrosa. En diciembre de 2023, el investigador Dylan Ayrey de Truffle Security identificó una seria vulnerabilidad en Google OAuth que podría tener consecuencias significativas. Esta vulnerabilidad permitía a los empleados retener el acceso a recursos corporativos incluso después de haber dejado de trabajar para la empresa. Además, existen posibilidades de que un individuo ajeno a la organización pueda aprovechar esta falla para obtener acceso no autorizado.
Te podrá interesar leer: Malware Explota OAuth de Google para Secuestrar Cuentas
En primer lugar, Google permite a los usuarios crear cuentas de Google utilizando cualquier dirección de correo electrónico, no limitándose únicamente a las cuentas de Gmail. En el contexto de un inicio de sesión en Google Workspace de una empresa, se suelen utilizar direcciones de correo electrónico con el nombre de dominio de la empresa. Por ejemplo, un empleado de la ficticia empresa "Ejemplo Inc." podría tener la dirección de correo electrónico "rodriguez@example.com".
En segundo lugar, Google, al igual que otros servicios en línea, admite una práctica conocida como subdireccionamiento. Esto permite la creación de alias en las direcciones de correo electrónico al agregar un signo más (+) seguido de un texto personalizado a una dirección existente. Esto se utiliza, por ejemplo, para gestionar flujos de correo electrónico. Así, al registrar una cuenta en un banco en línea, se podría especificar la dirección "rodriguez+bank@example.com", mientras que al registrarse en un proveedor de servicios de comunicación se podría usar "rodriguez+telco@example.com". Formalmente, estas son direcciones distintas, pero los correos electrónicos enviados a ambas llegarán al mismo buzón: "rodriguez@example.com". Esto permite manejar los mensajes entrantes de manera diferente mediante ciertas reglas, ya que el campo "Para:" varía.
En tercer lugar, en muchas plataformas de trabajo como Zoom y Slack, la autorización a través del botón "Iniciar sesión con Google" se basa en el dominio de la dirección de correo electrónico especificada al registrar la cuenta de Google. Por lo tanto, en un ejemplo, para acceder al espacio de trabajo de "Ejemplo Inc." en "ejemplo.slack.com", se necesita una dirección de correo electrónico con el dominio "@ejemplo.com".
Conoce más sobre: ¿Usar Google/Facebook para Entrar a Sitios Web?
Por último, en cuarto lugar, es posible editar la dirección de correo electrónico en una cuenta de Google. Aquí es donde entra en juego el subdireccionamiento, ya que se puede cambiar, por ejemplo, "rodriguez@example.com" a "rodriguez+whatever@example.com". Una vez hecho esto, es posible registrar una nueva cuenta de Google con la dirección "rodriguez@example.com".
El resultado es la existencia de dos cuentas de Google diferentes que se pueden utilizar para iniciar sesión en las plataformas de trabajo de "Ejemplo Inc." (como Slack y Zoom) a través de Google OAuth. El problema radica en que la segunda dirección permanece invisible para el administrador corporativo de Google Workspace, lo que significa que no puede eliminar ni desactivar esta cuenta. Como resultado, un empleado despedido aún podría tener acceso a los recursos corporativos.
Te podrá interesar leer: Comparativa: Google Workspace vs. Microsoft 365
Explotar la vulnerabilidad de Google OAuth y obtener acceso sin acceso inicial es algo que tú podrías realizar en la práctica. Dylan Ayrey probó la posibilidad de explotar esta vulnerabilidad en Slack y Zoom de su propia empresa y descubrió que, efectivamente, puedes crear este tipo de cuentas fantasmas. Incluso si no eres un experto en la materia, podrías aprovechar esta vulnerabilidad, ya que no se requieren conocimientos ni habilidades especiales de tu parte.
Debes tener en cuenta que, además de Slack y Zoom, esta vulnerabilidad afecta a docenas de herramientas corporativas menos conocidas que utilizan la autenticación OAuth de Google. En algunos casos, podrías obtener acceso a las herramientas en la nube de una organización incluso si inicialmente no tenías acceso al correo electrónico corporativo de la empresa objetivo.
La idea es que el servicio permita enviar solicitudes vía correo electrónico. Puedes crear una dirección de correo electrónico con el dominio de la empresa para la solicitud, y como creador de la solicitud (es decir, tú mismo), podrías ver el contenido de toda la correspondencia relacionada con esa solicitud. Resulta que podrías registrar una cuenta de Google con esa dirección y, a través de la solicitud, recibir un correo electrónico con un enlace de confirmación. Luego, podrías explotar con éxito la vulnerabilidad en Google OAuth para iniciar sesión en Zoom y Slack de la empresa objetivo sin tener acceso inicial a sus recursos.
Te podrá interesar leer: Detectando Debilidades: Explorando Vulnerabilidades
Un investigador notificó a Google sobre esta vulnerabilidad hace varios meses a través de su programa de recompensas por errores; la empresa la reconoció como un problema, aunque lo consideró de baja prioridad y gravedad, y otorgó una recompensa de 1337 dólares a Ayrey. Además, Ayrey informó del problema a algunos servicios en línea, incluido Slack.
Sin embargo, la solución de la vulnerabilidad no se ha dado con la urgencia necesaria, lo que implica que la responsabilidad de protegerse contra ella recae principalmente en los trabajadores encargados de las plataformas de trabajo de la empresa. Afortunadamente, en la mayoría de los casos, esto no representa un desafío especial; simplemente es necesario desactivar la opción "Iniciar sesión con Google".
La vulnerabilidad en Google OAuth es un recordatorio de que la seguridad en línea es un aspecto dinámico y en constante evolución. Tanto usuarios como desarrolladores deben estar siempre alerta y adoptar prácticas de seguridad efectivas para proteger sus datos y privacidad en el ciberespacio. Aunque Google trabaja continuamente para fortalecer sus sistemas de seguridad, la colaboración y la responsabilidad compartida entre todos los actores son esenciales para mantener un entorno digital seguro.