Archivo familiar, documentos del hogar y vídeos íntimos: los hackers pueden robarlo todo de tu Google Drive con solo reemplazar una carpeta

Millones de personas y empresas confían en Google Drive para almacenar contratos, informes, fotografías y documentos de trabajo, usando el cliente de escritorio para Windows para sincronizar archivos entre las carpetas locales y la nube. Sin embargo, esta aplicación resultó ser vulnerable: se descubrió un error grave que permite a cualquier usuario en un equipo compartido obtener acceso completo al contenido de la cuenta de Google Drive de otra persona sin volver a autenticarse.

Investigadores descubrieron que el programa guarda copias de los datos sincronizados en una carpeta oculta DriveFS dentro del perfil de Windows. Este directorio debería ser accesible solo para el propietario; sin embargo, la aplicación no verifica los permisos al conectar con la caché. Basta con copiar el contenido de la carpeta DriveFS de otro usuario en el propio perfil, tras lo cual el cliente cargará los datos ajenos como si fueran suyos. Al iniciarse, Google Drive Desktop interpreta la caché trasladada como legítima, eludiendo las comprobaciones de autenticidad y abriendo acceso a archivos personales y corporativos.

La verificación práctica mostró que en Windows 10 y 11 con la versión del cliente 112.0.3.0 el procedimiento es elemental: el atacante inicia sesión en Google Drive con su propia cuenta, cierra la aplicación, copia el directorio DriveFS de la víctima (C:/Users/[víctima]/AppData/Local/Google/DriveFS/[ID]) en su propio directorio (C:/Users/[atacante]/AppData/Local/Google/DriveFS/[ID]) y reinicia el programa. Como resultado obtiene acceso completo al disco principal de la víctima, así como a cualquier disco que ella haya compartido, sin contraseña ni notificaciones. Quedan expuestos en claro el código fuente, la información financiera, las fotos personales y cualquier otro documento.

Este mecanismo viola los principios básicos de Zero Trust, que exigen la verificación obligatoria de identidad en cada acceso, y además socava la protección asociada al cifrado de datos. Los archivos en la caché se guardan sin cifrar y pueden ser utilizados por cualquiera que tenga acceso al sistema. Esto contraviene los estándares y normativas NIST, ISO 27001, GDPR y HIPAA, que prevén un aislamiento estricto y la confirmación periódica de las credenciales.

Antes de la publicación de una corrección se recomienda que las organizaciones dejen de usar Google Drive Desktop en equipos con varios usuarios. Medidas temporales pueden incluir limpiar la caché al cambiar de cuentas, usar perfiles de Windows separados con permisos estrictos y limitar la ejecución del cliente solo en dispositivos de confianza. Para resolver completamente el problema, Google debe implementar cifrado individual de los datos en caché, exigir volver a iniciar sesión al conectar la carpeta y aplicar permisos estrictos a nivel del sistema de archivos.

Dado que una parte significativa de las filtraciones se debe a errores de personas con acceso interno, la confianza en la caché no protegida se convierte en una amenaza directa. Mientras la corporación no cierre esta brecha, los usuarios y los departamentos de TI corren el riesgo de acceso no autorizado a los datos más críticos.