Google Forms, la herramienta de Google para crear formularios y cuestionarios lanzada en 2008, se ha convertido en una opción dominante en el mercado, alcanzando casi el 50% de cuota según algunas estimaciones. Su facilidad de uso y gratuidad la hacen muy atractiva. Sin embargo, esta popularidad también ha llamado la atención de actores maliciosos.
Los ciberdelincuentes son expertos en aprovechar tecnologías populares para sus propios fines, y Google Forms no es una excepción. Lo utilizan para obtener información sensible de sus víctimas e incluso para engañarles e instalar malware en sus dispositivos.
¿Por qué los ciberdelincuentes eligen Google Forms?
Los estafadores buscan constantemente maneras de dar legitimidad a sus engaños y eludir los filtros de seguridad del correo electrónico. Google Forms les ofrece una excelente oportunidad para lograr ambos objetivos por varias razones:
- Gratuito: Permite lanzar campañas a gran escala con un coste mínimo y un potencial retorno de inversión elevado.
- Confianza del usuario: Al ser un servicio de Google, muchos usuarios confían en los formularios que reciben, aumentando la probabilidad de caer en la trampa.
- Servicio legítimo: Los filtros de seguridad tradicionales a menudo no bloquean los formularios o enlaces maliciosos de Google Forms al considerarlos tráfico legítimo.
- Fácil de usar: Su sencillez permite a los ciberdelincuentes crear campañas de phishing convincentes sin mucho esfuerzo ni conocimientos técnicos previos.
- Comunicaciones cifradas: El uso de cifrado TLS puede dificultar que algunas herramientas de seguridad inspeccionen el contenido en busca de actividad maliciosa.
- URLs dinámicas: Las direcciones web cambiantes que utiliza a veces pueden complicar la detección por parte de los filtros de seguridad.
¿Cómo son los ataques que usan Google Forms?
La mayoría de las amenazas que involucran Google Forms buscan engañar a los usuarios para que revelen información personal y financiera. Existen variaciones en las tácticas:
Formularios de Phishing
Los atacantes crean formularios que imitan páginas de inicio de sesión de marcas conocidas (redes sociales, bancos, universidades) o páginas de pago. Como se mencionó, es más rápido, fácil y barato que crear un sitio de phishing dedicado, y tiene más posibilidades de pasar desapercibido.
Normalmente, recibirás un enlace a estos formularios maliciosos a través de un correo electrónico de phishing, que también puede suplantar a una marca o remitente legítimo. El objetivo final suele ser:
- Robar credenciales de acceso para secuestrar cuentas o cometer fraude de identidad.
- Obtener datos bancarios o de tarjetas para vaciar cuentas o realizar pagos fraudulentos.
- Convencerte de hacer clic en un enlace dentro del formulario que redirige a un sitio que instala malware discretamente.
Phishing de devolución de llamada (Vishing)
Recibes un formulario de Google Forms malicioso diseñado para que llames a un número de teléfono indicado. El formulario puede simular ser de un banco u otro proveedor de servicios de confianza, creando un sentido de urgencia (por ejemplo, una cuenta bloqueada o un cargo inminente) para que llames sin pensar. Al llamar, hablarás con un estafador que intentará sonsacarte información personal y financiera, o incluso convencerte de instalar software de acceso remoto.
Spam de cuestionarios
Los ciberdelincuentes pueden abusar de la función de cuestionarios. Crean uno, añaden tu correo y, al "publicar puntuaciones", generan un mensaje personalizable donde pueden incluir enlaces a sitios de phishing, malware o estafas.
Ejemplos reales de ataques
Los investigadores de seguridad han detectado varias campañas en los últimos años:
- BazarCall: Una amenaza de tipo voice phishing (vishing) donde las víctimas recibían emails con formularios de Google Forms suplantando a PayPal, Netflix, etc. Informaban de un cargo falso inminente, instando a llamar a un número proporcionado.
- Phishing a Universidades Estadounidenses: Google detectó un aumento de ataques al sector educativo en EE.UU. Las víctimas recibían correos con enlaces a formularios maliciosos que imitaban la imagen de la universidad para robar credenciales y datos financieros.
Mantén tus defensas activas
La concienciación es clave para mitigar el impacto de estas amenazas de ingeniería social. Ahora que conoces cómo operan, te será más difícil caer en sus trampas. Considera lo siguiente para protegerte:
- Usa software de seguridad multicapa: Instala soluciones de seguridad de un proveedor reputado en todos tus dispositivos. Bloquearán descargas de malware incluso si haces clic en un enlace malicioso y detectarán patrones sospechosos.
- Mantente alerta al phishing: Desconfía de cualquier comunicación no solicitada que te pida hacer clic en un enlace o llamar a un número con urgencia. Contacta siempre con el remitente por una vía alternativa y verifica los enlaces pasando el ratón por encima antes de hacer clic.
- Refuerza la seguridad de tus cuentas: Utiliza contraseñas fuertes y únicas para cada cuenta, gestionadas con un gestor de contraseñas. Activa la autenticación multifactor (MFA) siempre que sea posible, preferiblemente mediante una llave de seguridad física o una app de autenticación.
- Presta atención a las advertencias: Google siempre muestra una advertencia en sus formularios: "Nunca envíes contraseñas a través de Google Forms". Sigue este consejo.
Si crees que has sido víctima de un ataque a través de Google Forms, cambia tus contraseñas inmediatamente, ejecuta un análisis de malware y avisa a tu banco para que bloquee tus tarjetas si has proporcionado esos datos. Activa la MFA en todas tus cuentas y vigila cualquier actividad inusual.
Simplemente con estar informado, ya estás mejor preparado para defenderte de las amenazas que utilizan Google Forms. Sé escéptico ante cualquier correo electrónico no solicitado, incluso si parece provenir de una marca de confianza.