Vulnerabilidades en Google Looker Studio Ponen en Riesgo Datos de Empresas
Publicado el
Nuevas vulnerabilidades en Google Looker Studio
Recientes investigaciones han revelado nueve vulnerabilidades en Google Looker Studio, que podrían facilitar a los atacantes la ejecución de consultas SQL arbitrarias en las bases de datos de las víctimas y la exfiltración de datos sensibles en entornos de Google Cloud. Estas fallas, denominadas LeakyLooker por la empresa Tenable, no han mostrado pruebas de haber sido explotadas en el entorno real.
Google abordó estos problemas después de una divulgación responsable en junio de 2025. A continuación se enumeran las vulnerabilidades identificadas: - Acceso no autorizado entre inquilinos - Inyección SQL sin clic en conectores de bases de datos - Inyección SQL sin clic a través de credenciales almacenadas - Inyección SQL en BigQuery mediante funciones nativas - Fugas de fuentes de datos entre inquilinos con hipervínculos - Inyección SQL en Spanner y BigQuery a través de consultas personalizadas - Inyección SQL a través de la API de vinculación - Fugas de fuentes de datos entre inquilinos mediante renderizado de imágenes - Fugas de datos arbitrarios entre inquilinos mediante conteo de marcos y oráculos de temporización - Denegación de servicio a través de BigQuery
Liv Matan, investigador de seguridad, destacó en un informe que estas vulnerabilidades rompen supuestos de diseño fundamentales y revelan una nueva clase de ataques. Podrían permitir a los atacantes exfiltrar, insertar y eliminar datos en los servicios de las víctimas y en su entorno de Google Cloud. Las fallas expusieron datos sensibles en varias plataformas de Google Cloud, afectando potencialmente a cualquier organización que utilice servicios como Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL y Cloud Storage.
La explotación de estas vulnerabilidades podría permitir a los actores de amenazas acceder a conjuntos de datos y proyectos enteros en diferentes inquilinos de la nube. Los atacantes podrían escanear informes públicos de Looker Studio o acceder a informes privados que utilicen estos conectores, como BigQuery, lo que les permitiría tomar control sobre las bases de datos y ejecutar consultas SQL arbitrarias.
Un escenario crítico descrito por la empresa de ciberseguridad implica la exfiltración de datos con un solo clic, donde compartir un informe especialmente diseñado obliga al navegador de la víctima a ejecutar código malicioso que se comunica con un proyecto controlado por el atacante, permitiendo la reconstrucción de bases de datos enteras a partir de registros.
Matan añadió que estas vulnerabilidades contradicen la promesa fundamental de que un 'espectador' nunca debería poder controlar los datos que está visualizando, permitiendo así a los atacantes exfiltrar o modificar datos en servicios de Google como BigQuery y Google Sheets.
Google ha tomado medidas para mitigar estos riesgos, pero la situación subraya la necesidad de una vigilancia continua y una mejora en las prácticas de seguridad para proteger los datos en la nube.