Google Forms, la popular herramienta de creación de formularios y encuestas, se ha convertido en un arma de doble filo. Si bien esta plataforma ofrece una manera sencilla y eficiente de recopilar datos, los ciberdelincuentes han encontrado formas ingeniosas de abusar de ella para difundir estafas y recopilar información confidencial de las víctimas.
1. Formularios de Phishing
Los atacantes diseñan formularios de Google que imitan a marcas legítimas, como páginas de inicio de sesión de redes sociales, bancos o plataformas de pago. Estos formularios maliciosos se envían a través de correos electrónicos de suplantación de identidad, con el objetivo de robar credenciales de acceso, datos bancarios o información personal.
2. Llamadas de Vishing
Los ciberdelincuentes crean formularios de Google que incluyen un número de teléfono, haciéndose pasar por instituciones de confianza. Al llamar a ese número, las víctimas hablan con miembros de una banda de suplantación de identidad que intentan convencerlas de entregar información personal y financiera, e incluso de descargar software malicioso.
«Los formularios maliciosos de Google Forms son diseñados para suplantar marcas legítimas, como páginas de inicio de sesión de redes sociales, bancos y universidades, o incluso plataformas de pago. Es más rápido, fácil y barato que crear un sitio dedicado al phishing, y es menos probable que sea bloqueado por los filtros de seguridad»
– Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica
3. Concursos de Preguntas y Respuestas
Los estafadores crean cuestionarios de Google Forms que parecen ser concursos o trivias. Al finalizar el quiz, se muestra un botón que redirige a sitios de phishing, malware o estafas.
4. Amenazas de Tipo Vishing: BazarCall
En esta estafa, las víctimas reciben un correo electrónico con un formulario de Google que simula ser de marcas conocidas como PayPal o Netflix. El formulario indica un cargo falso que se aplicará, a menos que el usuario llame al número de teléfono proporcionado.
5. Phishing Dirigido a Universidades
Los ciberdelincuentes han aprovechado el aumento del aprendizaje en línea durante la pandemia para lanzar ataques de phishing contra el sector educativo. Las víctimas reciben correos electrónicos con formularios de Google que parecen provenir de sus universidades, con el objetivo de robar credenciales de acceso o información financiera.
Para mitigar el impacto de estas amenazas, ESET recomienda mantener un software de seguridad multicapa, estar alerta ante posibles estafas de phishing, utilizar contraseñas seguras y activar la autenticación multifactor en todas las cuentas. Además, es crucial recordar que Google nunca solicita que se envíen contraseñas a través de sus formularios.
Si crees que has sido víctima de un ataque a través de Google Forms, actúa rápidamente: cambia tus contraseñas, realiza un escaneo de malware y contacta a tu banco para congelar las tarjetas si has proporcionado datos financieros. Mantén un enfoque escéptico y desconfía de cualquier solicitud no solicitada, incluso si parece provenir de una marca de confianza.
