{"id":200,"date":"2026-03-10T14:00:57","date_gmt":"2026-03-10T14:00:57","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/las-nuevas-fallas-de-leakylooker-en-google-looker-studio-podrian-permitir-consultas-sql-entre-inquilinos-cyberdefensa-mx\/"},"modified":"2026-03-10T14:00:57","modified_gmt":"2026-03-10T14:00:57","slug":"las-nuevas-fallas-de-leakylooker-en-google-looker-studio-podrian-permitir-consultas-sql-entre-inquilinos-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/las-nuevas-fallas-de-leakylooker-en-google-looker-studio-podrian-permitir-consultas-sql-entre-inquilinos-cyberdefensa-mx\/","title":{"rendered":"Las nuevas fallas de \u00abLeakyLooker\u00bb en Google Looker Studio podr\u00edan permitir consultas SQL entre inquilinos \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los investigadores de ciberseguridad han revelado nueve vulnerabilidades entre inquilinos en Google Looker Studio que podr\u00edan haber permitido a los atacantes ejecutar consultas SQL arbitrarias en las bases de datos de las v\u00edctimas y filtrar datos confidenciales dentro de los entornos de Google Cloud de las organizaciones.<\/p>\n<p>Las deficiencias han sido nombradas colectivamente. <strong>Looker con fugas<\/strong> por Tenable. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza. Tras la divulgaci\u00f3n responsable en junio de 2025, Google solucion\u00f3 los problemas.<\/p>\n<p>La lista de fallas de seguridad es la siguiente:<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/not-fast-enough-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhlXM830ruQd2xT6M7JNeNRjaFa1onD12WjSCHihTFMTzbyfT9h-irPmXy_h3E1HGSs6sdv7FTmnyNVTM5kmSb7BuUtZe8gKoTQt99P1sSzRcqqXpOJP6eoAOhR3DGb6qHx9kOZ_HBZUMmVnsnd0DM7QfUp81bgzTvvgLww6oqB-EhnDfWXH5pWCYhAsyLs\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abLas vulnerabilidades rompieron supuestos de dise\u00f1o fundamentales, revelaron una nueva clase de ataque y podr\u00edan haber permitido a los atacantes filtrar, insertar y eliminar datos en los servicios de las v\u00edctimas y en el entorno de Google Cloud\u00bb, dijo la investigadora de seguridad Liv Matan. <a href=\"https:\/\/www.tenable.com\/blog\/leakylooker-google-cloud-looker-studio-vulnerabilities\" rel=\"noopener\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>\u00abEstas vulnerabilidades expusieron datos confidenciales en los entornos de Google Cloud Platform (GCP), afectando potencialmente a cualquier organizaci\u00f3n que utilice Google Sheets, BigQuery, Spanner, PostgreSQL, MySQL, Cloud Storage y casi cualquier otro conector de datos de Looker Studio\u00bb.<\/p>\n<p>La explotaci\u00f3n exitosa de las fallas entre inquilinos podr\u00eda permitir a los actores de amenazas obtener acceso a conjuntos de datos y proyectos completos en diferentes inquilinos de la nube.<\/p>\n<p>Los atacantes podr\u00edan buscar informes p\u00fablicos de Looker Studio u obtener acceso a informes privados que utilicen estos conectores (por ejemplo, BigQuery) y tomar el control de las bases de datos, permiti\u00e9ndoles ejecutar consultas SQL arbitrarias en todo el proyecto GCP del propietario.<\/p>\n<p>Alternativamente, una v\u00edctima crea un informe como p\u00fablico o lo comparte con un destinatario espec\u00edfico y utiliza una fuente de datos conectada a JDBC, como PostgreSQL. En este escenario, el atacante puede aprovechar una falla l\u00f3gica en la funci\u00f3n de copia de informes que permite clonar informes conservando las credenciales del propietario original, lo que le permite eliminar o modificar tablas.<\/p>\n<p>Otra ruta de alto impacto detallada por la compa\u00f1\u00eda de ciberseguridad implic\u00f3 la exfiltraci\u00f3n de datos con un solo clic, donde compartir un informe especialmente dise\u00f1ado obliga al navegador de la v\u00edctima a ejecutar c\u00f3digo malicioso que contacta un proyecto controlado por un atacante para reconstruir bases de datos completas a partir de registros.<\/p>\n<p>\u00abLas vulnerabilidades rompieron la promesa fundamental de que un &#8216;espectador&#8217; nunca deber\u00eda poder controlar los datos que est\u00e1 viendo\u00bb, dijo Matan, y agreg\u00f3 que \u00abpodr\u00edan haber permitido a los atacantes filtrar o modificar datos en los servicios de Google como BigQuery y Google Sheets\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han revelado nueve vulnerabilidades entre inquilinos en Google Looker Studio que podr\u00edan haber permitido a los atacantes ejecutar consultas SQL arbitrarias en las bases de datos de las v\u00edctimas y filtrar datos confidenciales dentro de los entornos de Google Cloud de las organizaciones. Las deficiencias han sido nombradas colectivamente. Looker con [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[682,24,684,103,256,685,95,677,678,676,681,680,683,679],"class_list":["post-200","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-consultas","tag-cyberdefensa-mx","tag-entre","tag-fallas","tag-google","tag-inquilinos","tag-las","tag-leakylooker","tag-looker","tag-nuevas","tag-permitir","tag-podrian","tag-sql","tag-studio"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/200","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=200"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/200\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=200"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=200"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=200"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}