"Sí, no envíes tu móvil de Google para una reparación/reemplazo en garantía". Así iniciaba Jacke McGoniual, diseñadora de juegos, un hilo en Twitter tras descubrir que alguien del servicio de la compañía había accedido a su Google Pixel 5a con el objetivo de husmear entre "un montón de selfies con la esperanza de encontrar desnudos".
McGonigal decidió enviar su Pixel 5a a reparar por un problema técnico. Lo hizo sin un restablecimiento de fábrica a través de los ajustes del propio dispositivo, dado a que su terminal no encendía. No obstante, asegura que intentó borrar los datos a través del servicio de búsqueda de smartphone de Google. Este, en concreto, permite eliminar la información de forma remota, pero parece que no funcionó.
Semanas después de enviar su terminal, la también escritora estadoundeinde recibió un aviso de Google alertando que nunca recibieron el teléfono. McGonigal, sin embargo, asegura que el seguimiento de envío de la agencia de transporte marcaba el dispositivo como entregado. Google, como solución, le ofreció un reembolso por el terminal.
El Hacker usó el móvil "perdido" para autorizar los inicios de sesión
Días después de la solución del incidente, McGonigal se dio cuenta de que alguien estaba iniciando sesión en servicios como Gmail, Google Drive, Dropbox o una cuenta de respaldo de fotografías. Las plataformas contaban con una autenticación de doble factor, pero utilizaron su Pixel 5a aparentemente extraviado para completar el proceso.
"El hacker cambió mi configuración de Gmail para marcar todos los mensajes de seguridad de Google como spam, así que cuando revisé mi carpeta de spam, ahí es donde estaban todas las alertas de seguridad mientras me pirateaban".
Si bien McGonigal tenía una cuenta de respaldo que ofrecía información sobre los inicios de sesión, cree que el "hacker" que tenía su teléfono pudo haber eliminado y enviado estas alertas a la carpeta de Spam con el objetivo de no ser descubiertos.
"Las fotos que abrieron eran de mí en traje de baño, sujetadores deportivos, vestidos ajustados y de puntos de sutura después de una cirugía. Eliminaron las notificaciones de seguridad de Google en mis cuentas de correo electrónico de respaldo".
Asegura en otro de sus tweets.
Google está investigando lo sucedido
Google, que es consciente de este incidente, ha asegurado a The Verge que están investigando lo ocurrido. Desconocen, además, si el problema ha sido causado en el propio servicio técnico o por la agencia de transporte. Mientras tanto, McGonigal ha conseguido que Google facilite instrucciones de seguridad para aquellas personas que no pueden restablecer sus dispositivos antes de enviarlo al servicio técnico.
La historia de McGonigal recuerda mucho a la que surgió en julio de este mismo año. Apple pagó millones de dólares a una mujer porque un miembro del servicio técnico accedió a su contenido. Este compartió imágenes y vídeos privados en el perfil de Facebook de la propietaria.