Este miércoles ha sido descubierta una estafa muy sofisticada diseñada para engañar a los usuarios de Gmail que ya podría haber afectado a más de un millón de usuarios, según ha sugerido Google en un comunicado realizado el miércoles por la noche. Google ha quitado hierro al asunto en una serie de comunicados posteriores.
“Estamos al corriente de que algunas personas están preocupadas por sus cuentas de Google, y tras haberlo investigado detenidamente ya podemos dar una explicación más completa,” ha dicho la propia Google en un comunicado enviado por un equipo de representantes. “Hemos realizado las acciones pertinentes para proteger a los usuarios contra una campaña de spam por correo electrónico en la que el atacante se hace pasar por Google Docs, y que ha afectado a menos del 0’1 por ciento de usuarios de Gmail.”
Sin embargo, esta forma de contar a los usuarios da pie a bastante confusión, ya que Google da la impresión de que casi nadie ha resultado víctima de este ataque cuando la realidad es que ese 0’1 por ciento se traduce en más de un millón de afectados. Debemos tener en cuenta que Google es un negocio enorme y que sólo el año pasado contaba con más de mil millones de usuarios activos al mes. Así que se trata de un problema bastante grave.
Google ha quitado hierro al asunto en una serie de comunicados posteriores
Este ataque, una vez que se hacía con tu cuenta, se reenviaba a las cuentas de tus contactos, por lo que si alguno de tus amigos te manda un Google Doc de la nada, sospecha y no lo abras. Parte de lo que ha hecho que esta estafa resultase convincente para los usuarios es precisamente que el email les llegaba enviado por un amigo o conocido. Esto ha sido así gracias a que los hackers han utilizado una aplicación web llamada Google Docs, creada con intención de engañar a las víctimas utilizando el sistema de Google para desarrolladores. Esta aplicación maliciosa consigue todos los datos de una cuenta de Gmail cuando el usuario hace clic en ella.
“La diferencia más importante entre este ataque y un ataque de phishing normal es que en este caso no se te envía a una página falsa de Google y se te pide que insertes la contraseña, sino que el propio programa toma control de tu cuenta. Las páginas falsas son fáciles de detectar porque la URL no es la misma,” ha dicho Adi Robertson para los chicos de The Verge.
Una curiosidad es que, siempre según las fuentes oficiales de Google, no se ha descubierto ninguna filtración de datos personales ni de contacto en las cuentas robadas. Esto es interesante porque normalmente los ataques de phishing tienen como objetivo obtener toda la información posible de sus víctimas, así que por ahora no sabemos cuál era la finalidad de este ataque. Según los representantes de Google, este ataque ha sido eliminado en cuestión de “una hora aproximadamente”. Pero, por si acaso, si alguno de vosotros recibe un correo con un Google Doc sospechoso de parte de un amigo, llamadle por teléfono para preguntarle si realmente ha sido él.
