Documentación de ciclos de auditoría, hallazgos éticos y patrones institucionales.
Esta investigación desmanteló un sofisticado esquema de compromiso de cuenta que permitía a un atacante obtener control persistente y sigiloso sobre la infraestructura en la nube de una víctima. A través de un flujo de autorización engañoso, el atacante creaba múltiples proyectos no autorizados en Google Cloud, los cuales eran utilizados para desplegar recursos de computación (VMs, GKE) para fines maliciosos. La técnica más crítica consistía en manipular las políticas de IAM para impedir que el propietario legítimo de la cuenta pudiera ver o eliminar esta infraestructura, asegurando así una persistencia a largo plazo.
La investigación se inició a partir de una única anomalía: un SMS sospechoso enviado desde un dispositivo. Aplicando una metodología forense digital, se correlacionaron datos de múltiples fuentes (Google Dashboard, logs de actividad) para descubrir actividad oculta. La clave del descubrimiento fue identificar conflictos entre los datos históricos del Dashboard y la información visible en las interfaces de usuario (en Google Tasks y Groups), lo que probaba la existencia de técnicas de evasión de defensas basadas en API.
El reporte fue enviado al VRP de Google, donde fue inmediatamente escalado a Prioridad P2 (Alta). El caso fue posteriormente asignado a los equipos de élite de Google, incluyendo el Equipo de Respuesta a Incidentes de Seguridad de Producto (PSIRT) y el equipo de Forense de la Nube (Cloud Forensics), donde se encuentra bajo investigación activa como un incidente de seguridad de alta prioridad.
Esta investigación descubrió una vulnerabilidad crítica en el entorno de configuración inicial (OOBE) de ChromeOS. Un actor con acceso físico a un dispositivo gestionado podía eludir completamente las políticas de seguridad empresariales, permitiendo un acceso a internet sin restricciones y la escalación a ejecución de código arbitrario, rompiendo fundamentalmente el modelo de seguridad para el despliegue de dispositivos corporativos.
El reporte fue enviado y validado por el VRP de Google. La criticidad del hallazgo fue confirmada, y el issue fue escalado internamente a un equipo multifuncional de más de 40 ingenieros para su mitigación.