Los piratas informáticos siempre buscan constantemente nuevas formas de poner en peligro a los usuarios utilizando para ello aplicaciones y servicios populares que aumenten considerablemente las probabilidades de terminar infectados. Aunque muchas veces es muy sencillo diferenciar un ataque phishing de la plataforma original que intentan suplantar, en realidad otras veces los ataques son tan complejos y sofisticados que es incluso imposible de detectar, como vamos a ver en esta ocasión.

Hace algunas horas daba comienzo una nueva campaña masiva de Phishing en todo el mundo. Esta nueva campaña utilizaba Google Docs, la plataforma de almacenamiento en la nube y herramienta ofimática colaborativa de Google, como gancho para engañar a los usuarios. En esta ocasión, los piratas informáticos crearon un correo electrónico que imitaba a la perfección a los correos que nos envía Google cuando compartimos un documento con otras personas, mensaje con el que se nos invita a colaborar en la edición de dicho documento.

Cuando la víctima pulsa sobre el enlace en cuestión, automáticamente se le redirige a una nueva página en la que debe escoger con qué cuenta entrar en la plataforma de Google Docs y, además, dar permiso a la cuenta para poder acceder. Entre los permisos que nos pide la página maliciosa, podemos ver permiso para leer, enviar y borrar mensajes de correo.

En el siguiente tweet, por ejemplo, podemos ver cómo funciona el ataque.

@zeynep Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX

— Zach Latta (@zachlatta) May 3, 2017

Cuando la víctima da a la plataforma esos permisos, automáticamente la cuenta pasa a formar parte de la botnet utilizada para mandar los correos a otras personas, evadiendo incluso los sistemas de seguridad avanzados de Google como la doble autenticación. Una vez dentro de la botnet, la cuenta empieza a enviar mensajes similares, de forma masiva, a nuestros usuarios.

Mientras que el ataque es muy sofisticado, si nos fijamos en detalle en el mensaje de correo, este tiene algunas características que nos podrían hacer sospechar, por ejemplo, que el emisor de estos correos electrónicos es siempre “[email protected]“, mientras que los destinatarios se encuentran incluidos todos en CCO.

Google ya ha conseguido mitigar este ataque de Phishing. ¿Qué debo hacer para protegerme?

En tan solo una hora, Google consiguió mitigar el ataque y frenar la campaña maliciosa. A partir de ahora, la botnet de Google Docs está desactivada, por lo que ya no deberían llegar más mensajes Phishing a través de ella. Además, por el momento, no se han detectado indicios que demuestren que las cuentas de los usuarios de Google puedan haberse visto comprometidas.

Aunque hayamos recibido el correo en cuestión, si no hemos pulsado sobre el enlace y dado permiso al documento malicioso para poder controlar nuestra cuenta no tenemos de qué preocuparnos. Si por el contrario sí que hemos dado permiso, lo único que nos queda por hacer es buscar nuestra lista de aplicaciones permitidas y eliminar la aplicación maliciosa de Google Docs.

Google también ha actualizado todo su motor de Navegación Segura y los filtros de Gmail, así como ha incluido una serie de medidas de seguridad avanzadas con las que podrá, a partir de ahora, proteger a los usuarios directamente de posibles nuevos ataques similares.

¿Qué te parece este nuevo ataque Phishing que ha puesto en peligro a los usuarios de Google durante una hora?