Google compartió mi número de teléfono

 (danq.me)
1 puntos por GN⁺ 2025-05-27 | 1 comentarios | Compartir por WhatsApp
  • Recientemente, usuarios de Three Rings llamaron repetidamente al autor y, al rastrear la causa, descubrió que su número personal de celular estaba expuesto en los resultados de búsqueda de Google
  • Ese número había sido enviado en el pasado durante el proceso de verificación de identidad de Google, y fue añadido sin consentimiento al Google Business Profile que aparecía en la búsqueda
  • El autor eliminó de inmediato el número del perfil comercial para detener la exposición, pero no pudo obtener una explicación sobre el motivo del cambio
  • Tras haber sufrido recientemente otra filtración de datos personales en un banco, crece su desconfianza sobre la dificultad de proteger la privacidad
  • Esto sugiere tanto la importancia del consentimiento del usuario como el hecho de que los errores del usuario o la proliferación indiscriminada de ventanas de consentimiento pueden acelerar la filtración de PII

Resumen del incidente

  • A comienzos de este mes, el autor recibió una llamada de una persona que usa Three Rings, el software de gestión de voluntariado que fundó
  • Aunque oficialmente no ofrecía soporte por teléfono, en el pasado había devuelto personalmente llamadas a muchos usuarios
  • Por eso pensó que algunos usuarios podrían haber guardado su número personal de celular

Llamadas repetidas y la duda

  • Después de recibir la tercera llamada similar del mes, el autor empezó a sospechar dónde se había hecho público su número
  • En la cuarta llamada, como no reconocía el nombre de la organización del usuario, preguntó dónde había encontrado el número
  • La otra persona respondió: "Aparece si buscas 'Three Rings login' en Google"

Exposición de información personal a través de los resultados de Google

  • Al comprobarlo por sí mismo, vio que el Google Business Profile de Three Rings CIC mostraba su contacto personal
  • Cualquiera podía llamar directamente a su número personal usando el botón de 'llamar'
  • Como casi nunca usa la búsqueda de Google, no se habría enterado si otra persona no se lo hubiera dicho

Cómo gestiona Google la información personal

  • El autor sí había entregado ese número en el pasado durante el proceso de verificación de identidad de Google, pero no había dado consentimiento para hacerlo público
  • Recientemente, Google empezó a mostrar ese número en el Google Business Profile por decisión propia, y no está claro ni cuándo ocurrió ni por qué
  • Cuando el autor eliminó el número del perfil comercial, la exposición se detuvo de inmediato
  • Sin embargo, al mismo tiempo desapareció también el mensaje "El número de teléfono fue modificado por Google", así que no pudo saber el motivo ni el historial del cambio

Caso reciente en otra institución financiera y malestar del usuario

  • El mes pasado, un banco (Halifax) envió por error información de un contrato de crédito a otra persona que no tenía relación con el autor
  • Tras vivir dos incidentes seguidos de filtración de datos personales, el autor llegó a preguntarse si quizá había marcado por error alguna ventana emergente de consentimiento
  • También ironiza sobre cómo los avisos de consentimiento de privacidad en realidad son difíciles de entender y fomentan hacer clic en “acepto” sin pensar

Resumen e implicaciones

  • Muestra que una violación de privacidad inesperada puede ocurrirle a cualquiera
  • Vuelve a poner en primer plano la confianza del usuario en cómo grandes plataformas como Google o instituciones financieras usan y publican la información personal
  • El riesgo de filtración de PII (información de identificación personal) sigue existiendo por errores del usuario, descuidos o sincronizaciones arbitrarias del sistema
  • Sigue habiendo una brecha entre el significado de consentimiento y las prácticas reales de tratamiento de datos
  • Tanto las empresas de TI como los usuarios necesitan una orientación más transparente y clara para gestionar la información personal de forma segura

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-05-27
Comentario de Hacker News

  • Señalan que el número de teléfono está publicado en el sitio web y que el mismo número también aparece en el perfil de desarrollador de Google Play. Opinan que en ambos perfiles parece tratarse de información publicada directamente por la propia persona. Si se usa el mismo número personal y de negocios, consideran natural que ocurra este resultado. Al principio parecía que Google se había equivocado al cambiar ese número de privado a público, pero explican que en Google Play se exige un número al que los clientes puedan contactar

    • Dice ser el autor de la publicación y aclara que no debería haber un número de teléfono en el sitio web, y que él mismo tampoco logra encontrarlo. Lamenta que el número haya quedado expuesto en el perfil de desarrollador de Google Play y agradece que se lo hayan avisado

  • Comparte que una vez compró un teléfono Samsung y tenía una función que mostraba el nombre de una persona cuando llamaba desde un número desconocido. Supone que la información venía de una base de datos de contactos de otras personas. Un día lo llamó un vecino y, aunque no lo tenía guardado en contactos, aparecía como 'NOMBRE GRINDER', porque otro usuario lo había guardado así. El vecino era una persona que había salido del clóset en la zona, pero trabajaba en ventas para una inmobiliaria, y se sintió muy incómodo por esa exposición de información. Además, comenta que ni siquiera usa esa app desde hace 7 años

    • Responden que cuesta creer que algo así haya ocurrido de verdad. Opinan que se ve peligroso, al punto de que podrían imaginarse situaciones mucho más graves que ese ejemplo

    • Agregan que algunos teléfonos Samsung traen truecaller o callapp preinstalados, y que eso provoca este tipo de situaciones

  • Comparte que, mientras operaba una empresa en los Países Bajos, Google actualizó el número telefónico de la compañía basándose en el número de registro de la cámara de comercio. La empresa no ofrece soporte telefónico, pero legalmente ese registro debe incluir un número de teléfono. Registraron un número VoIP que va directo al buzón de voz e informa que no ofrecen soporte telefónico. Quitaron el número del perfil de Google Business, pero a veces Google lo vuelve a agregar automáticamente

  • Opinan que quizá alguien simplemente añadió por su cuenta un número de teléfono que tenía, pensando que sería útil para el perfil de la empresa

    • Enfatizan que en la captura de pantalla dice explícitamente 'Google actualizó el número', así que no fue un ingreso hecho por un usuario

    • Opinan que es un error grave que cualquier usuario pueda actualizar libremente el número de un perfil comercial y que Google lo publique de inmediato sin pedir permiso al dueño del número

  • Dice que también tuvo una experiencia parecida y cuenta que recibió una llamada a las 2 de la mañana. Cuando administraba un servicio de empleos en una empresa anterior, publicó una oferta para contratar desarrolladores Python para su proyecto, pero no podía desactivar la visibilidad del contacto. Por eso, alrededor de las 5 de la mañana, una persona desconocida lo llamó varias veces para preguntarle cómo convertirse en programador. Recuerda que en la primera llamada se desconcertó tanto que hasta le dio consejos útiles. Ahora, para prepararse ante este tipo de filtraciones de privacidad, usa 4 números distintos separados para lo personal, trabajo y otros usos

    • Como le respondieron que curiosamente todas las llamadas llegaron a las 5 de la mañana, alguien señala que quizá venían de la misma región y, por la diferencia horaria, coincidían con el horario de entrada al trabajo de la otra persona

  • Explican el daño que ocurre cuando Google no enfrenta demandas. En Alemania, lieferando (del grupo takeaway.com) registró en masa dominios como 'nombre-del-restaurante-ciudad.de' para redirigirlos a su propio call center, y también modificó fichas de Google Business para ponerlas a su nombre. Después llamaban a los dueños de restaurantes para presionarlos con contratos, diciéndoles que ya no podían encontrar su negocio en Google, y además los clientes que intentaban pedir por teléfono recibían información errónea a través del call center, causando un fuerte perjuicio al negocio. Operaban más de 130 mil de estos dominios fantasma, y comparte que incluso ayudó aportando datasets para los restauranteros afectados. Pero como el daño económico por caso no era tan alto, era difícil demandar y, a diferencia de Estados Unidos, no existía una class action que facilitara el tema. Critica que Google sabía de la situación y aun así evitaba responsabilidades escudándose en su estructura de gran holding

    • Mencionan que algo muy parecido era una táctica muy usada en BlackHatWorld hace 15 años, y comparten lo irónico que resulta ver que ahora la estén aprovechando empresas de VC

    • Responden que, más que un problema de Google, el fondo del asunto es que una empresa que ejerce extorsión evita ser demandada

    • Preguntan si en Google Maps de verdad cualquiera puede apoderarse fácilmente de cualquier negocio solo con registrar un dominio, o si Google no tiene algún proceso aparte para resolver disputas de propiedad

    • Preguntan si existe algún artículo periodístico en medios alemanes que haya investigado bien este caso

    • Subrayan que da miedo lo fácil que es usar el ecosistema creado por Google como arma para atacar a pequeños negocios

  • Señalan que la historia presentada en el texto principal quizá no sea en realidad la explicación más adecuada. Solo en los comentarios ya hay al menos tres explicaciones alternativas. Sugieren que, si se descargan los datos de la cuenta de Google con Takeout, podría revisarse qué información tiene Google y con qué propósito la usa

    • Pero responden que Google no ofrece Takeout para Business Profile, y explican que las empresas muchas veces ni siquiera están protegidas por leyes de privacidad de datos como el GDPR, por lo que grandes compañías como Google no suelen ofrecer herramientas prácticas como la exportación de datos

  • Comparte que su número personal de celular quedó público en Google Play Store. Como le advirtieron que la cuenta sería suspendida si no verificaba un número comercial, pasó más de un mes intentando verificarlo y al final no tuvo más remedio que ingresar su número personal

    • Otro publicador independiente de apps dice que vivió algo parecido y que, como ni siquiera da soporte al cliente, le resultaba incómodo que su número apareciera publicado junto a la app. Considera que esta política solo perjudica a los desarrolladores indie, así que decidió retirar su app de la tienda

  • Comparten que cualquiera puede modificar el número telefónico de un negocio desde Google Search. Suena increíble, pero es real: ejemplo de edición del número de Three Rings CIC

    • Explican que cualquier usuario de Google Maps puede sugerir ediciones, pero que la información enviada se revisa antes de aplicarse. Se pueden reportar cierres, cambios de dirección, cambios de horario y muchas otras cosas. Incluso se puede usar en paradas de autobús, estaciones de tren o sitios históricos. Añaden que este sistema se basa en el "crowdsourcing". También comparten la guía de Google Business Profile y el enlace para registrar un Business Profile

  • Opinan que, aunque el número está difuminado en la imagen del artículo, los dígitos todavía se alcanzan a ver

    • El propio dueño del blog responde que en la captura real usó un 'número ficticio para drama' designado oficialmente por Ofcom, así que no hay ningún problema de seguridad. Comparte también la referencia oficial de números telefónicos para drama

    • Señalan que el difuminado es tan débil que el número sigue siendo legible, y ponen como ejemplo que hoy incluso con IA y otras técnicas es posible reconstruir casi por completo información de imágenes muy degradadas: imagen de ejemplo

    • Observan que el número en sí era 07700 987654, así que se nota que es ficticio

    • Advierten que un simple efecto de blur no basta para proteger información sensible, y que los expertos recomiendan métodos de ocultamiento más seguros. En especial en una imagen como esta, donde ni siquiera hace falta tecnología especial para leer el número. Si el motivo del blur era proteger la identidad, recomiendan actualizar la imagen de inmediato

    • También les preocupa que los rastreadores de IA recientes ya extraigan texto de las imágenes para construir datasets, así que una imagen con un blur mal hecho también podría terminar entrando como datos para LLM