La popular herramienta de Google para crear encuestas y cuestionarios, Google Forms, está siendo explotada por ciberdelincuentes para llevar a cabo engaños y propagar software malicioso, según alerta ESET Latinoamérica. La facilidad de uso, la gratuidad y la confianza que inspira la plataforma la convierten en un vector atractivo para la ingeniería social.
ESET destaca varias razones por las que los atacantes prefieren Google Forms: su costo cero permite campañas masivas, la credibilidad de la marca Google reduce las sospechas de las víctimas, su naturaleza de servicio legítimo dificulta la detección por filtros de correo electrónico tradicionales, la sencillez de su interfaz facilita la creación de engaños convincentes y el cifrado TLS de sus comunicaciones puede obstaculizar el análisis de actividad maliciosa. Además, sus URLs dinámicas complican la identificación de formularios fraudulentos.
Las principales tácticas identificadas por ESET incluyen:
- Formularios de Phishing: Imitan páginas de inicio de sesión de redes sociales, bancos, universidades o plataformas de pago para robar credenciales, datos bancarios o inducir a hacer clic en enlaces que instalan malware. Estos formularios suelen distribuirse a través de correos electrónicos fraudulentos que suplantan identidades legítimas.
- Vishing a través de Formularios: Los delincuentes envían formularios que simulan ser de entidades confiables, como bancos, alertando sobre cargos falsos o bloqueos de cuenta inminentes. El objetivo es que la víctima llame a un número de teléfono proporcionado, donde un operador de «vishing» intentará obtener información personal y financiera o persuadir para la descarga de software de acceso remoto.
- Concursos y Cuestionarios Maliciosos: Se abusa de la función de cuestionario para simular concursos. Al finalizar, un botón para ver los resultados redirige a sitios de phishing, malware o estafas.
ESET ejemplifica estas amenazas con campañas recientes como BazarCall, donde formularios falsos de PayPal o Netflix instaban a llamar a un número por supuestos cargos, y ataques de phishing dirigidos a universidades estadounidenses, donde formularios y correos electrónicos fraudulentos buscaban robar datos de acceso o financieros.
Para mitigar estos riesgos, ESET recomienda:
- Utilizar software de seguridad multicapa de confianza en todos los dispositivos.
- Mantenerse alerta ante correos no solicitados que urjan a hacer clic o llamar, verificando la autenticidad por canales oficiales.
- Usar contraseñas robustas y únicas, almacenándolas en un gestor, y activar la autenticación multifactor.
- Prestar atención a las advertencias de Google, recordando que nunca se deben enviar contraseñas a través de sus formularios.
En caso de sospechar haber sido víctima de un ataque a través de Google Forms, ESET aconseja cambiar contraseñas, realizar un análisis de malware, contactar al banco para bloquear tarjetas (si se compartieron datos financieros), activar la autenticación de doble factor y monitorear las cuentas en busca de actividad sospechosa. La clave es mantener la cautela ante cualquier comunicación no solicitada, incluso si parece provenir de una fuente confiable.
Fuente: ESET
