Vishing y phishing: ¿Cómo los hackers ahora usan 'Google Forms' para estafar y robar datos?

El vishing y phishing se perfeccionan y siguen acechando a Ecuador. Estas dos poderosas herramientas para robar datos y estafar son los 'juguetes' preferidos de los hackers alrededor del mundo, y para cometer sus ciberdelitos ahora recurren a una técnica más: los formularios o cuestionarios de 'Google Forms'.

Seguro y en la última semana o mes tuvo que llenar uno de estos 'Google Forms', aquel popular sistema lanzado por el gigante buscador en 2008, y que permite a todo usuario, con poco o ningún conocimiento tecnológico, crear formularios en línea en pocos pasos.

Se difunden en empresas que quieren hacer una encuesta, en colegios o academias para inscribir a un alumno, o en aplicaciones para becas y promociones, en fin, los Google Forms están en todas partes de este mundo hiperconectado. 

Pero como son tan utilizados, y de hecho casi el 50% de encuestas online se realizan con este programa, los hackers han identificado que es una buena técnica para atacar a los usuarios. 

La firma de ciberseguridad ESET advierte que el uso extendido de los 'Google Forms' también incluye fines maliciosos, como recopilar información confidencial de sus víctimas para luego estafarlos o instalar malwares en los equipos tecnológicos. 

• Smishing: Cinco estafas que le llegarán por SMS y cómo protegerse

“Los formularios maliciosos de Google Forms son diseñados para suplantar marcas legítimas, como páginas de inicio de sesión de redes sociales, bancos y universidades, o incluso plataformas de pago", explica el jefe del laboratorio de investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya. 

Para Amaya, estos sencillos formularios de Google es la manera más barata y rápida para un ciberdelincuente dedicado al phishing, y es "menos probable que sea bloqueado por filtros de seguridad" de un sistema o computador.

Esto último ocurre porque el sistema del Google Forms está cifrado con la tecnología TLS o Transport Layer Security, que dificulta que herramientas de seguridad comprueben si hay alguna actividad maliciosa detrás del inocente cuestionario de un colegio o empresa. 

Formularios y phishing 

Cuando un 'Google Forms' malicioso suplanta marcas legítimas de empresas, páginas enteras de inicio de un compañía o portal, de bancos o universidades, estamos hablando de un cuestionario dedicado al phishing. ¿Cómo es este ataque? 

• Normalmente, se recibe un enlace a uno de estos formularios de Google maliciosos a través de un correo electrónico de suplantación de identidad.
• Como el usuario cree que el remitente es su banco, universidad o el colegio de su hija, da clic y comienza a llenar el cuestionario. 
• Ya en este punto, los hackers aprovechan para recoger los datos de acceso, que luego pueden utilizarse para secuestrar cuentas y cometer fraudes de identidad, es decir, suplantarlo, y por ejemplo, pedir dinero en su nombre. 
• También una vez que el usuario 'cuenta su vida' en el cuestionario, los ciberdelincuentes pueden robar los datos de una  tarjeta de crédito, u obtener información bancaria, para controlar las cuentas y vaciarlas o cometer fraude en los pagos. 
• Otra manera eficaz de los cibercriminales, para secuestrar los datos online, es instalar un malware en el equipo, una vez que el usuario da clic en el cuestionario malicioso. 

Vishing o estafas de voz 

Técnicamente, el vishing es un tipo de estafa por voz, proviene de voice (voz en inglés) y el término phishing. 

Es una técnica de ingeniería social, en la que el hacker se gana la confianza del afectado y literalmente lo llama suplantando la identidad de una empresa y hasta de un amigo. 

Luego utiliza esta 'cercanía' para robar información, inducirlo a hacer un pago, y para instalar un virus malicioso en el equipo. 

En el caso de los Google Forms, la estafa funciona así: 

• Los atacantes envían un formulario malicioso de Google para engañar al usuario.
• Piden que llame a un número de teléfono que aparece en el cuestionario o encuesta. 
• El formulario puede estar diseñado para que parezca enviado por un banco u otro proveedor de servicios de confianza.
• El mensaje tendrá un sentido de urgencia, como que su cuenta de banco será bloqueada, o que alguien retiró su dinero. Y en algunos casos, llegan a decir que un amigo fue secuestrado. 
• Sin pensarlo, el afectado llamará de inmediato al número del cuestionario. 
• ESET advierte que lo más probable es que "un miembro de una banda de suplantación de identidad por voz (vishing) intentará convencer para que se entregue información personal y financiera". 
• También puede persuadirlo para que se descargue un software de acceso remoto al equipo, lo que les daría el control total del dispositivo.

Sobre el famoso vishing, el experto de ESET resalta que existe una amenaza derivada de esta prática llamada 'BazarCall'.

Como si los usuarios no tuvieran suficientes amenazas, los hackers se las ingenian para suplantar la identidad de empresas muy conocidas como PayPal o Netflix. 

Y el formulario que envían tiene "detalles de un cargo falso que está a punto de aplicarse, a menos que el destinatario llame al número de teléfono facilitado". 

Pero, ¿qué puedo hacer? 

Quizás luego de leer estas nuevas técnicas de los ciberdelincuentes, ya tendrá un dolor de cabeza más, pero respire profundo, porque aún puede protegerse. Y el primer consejo es 'dude de todo' lo que reciba por correo electrónico. 

"Si ocurre lo peor y crees que has sido víctima de un ataque a Google Forms, cambia tus contraseñas, realiza un escaneado de malware y pide a tu banco que congele las tarjetas, si has enviado los datos de la tarjeta", aconseja el experto de ESET, Gutiérrez Amaya. 

Otra medida de contención, tras ser hackeado, es activar el doble factor de autenticación en todas las cuentas, y supervisar sus cuentas para detectar cualquier actividad inusual. 

"Se recomienda ser escéptico ante cualquier correo electrónico no solicitado que se recibas, aunque proceda de una marca de confianza", recuerda el especialista en ciberseguridad.

Pero, si aún no ha sido vulnerado ni hackeado, estos son los consejos para protegerse: