contador gratis Saltar al contenido

Ataque de phishing peligroso a través de Google Docs: aquí se explica cómo defenderse

septiembre 19, 2020

En las últimas horas, un peligroso ataque de phishing ha estado circulando en línea por parte de un atacante utilizando los permisos de Google Docs. El ataque no solo simula un sitio real con una contraparte falsa, sino que en este caso implementa una estrategia sutil, casi brillante en su mezquindad.

El ataque comienza con un correo electrónico en el que alguien anuncia que ha compartido un documento de Google Docs contigo, un correo electrónico idéntico al que recibes cuando alguien comparte un documento de Google Docs con una cuenta de Gmail.

Al hacer clic en el botón, que no tiene nada de extraño, se le pedirá que inicie sesión en su cuenta de Google para leer el documento.

Una vez que haya iniciado sesión, aparecerá una ventana de autorización en la que la aplicación Google Docs solicitará permiso para leer, recibir, enviar y administrar correos electrónicos, así como el acceso a los contactos.

phishing en Google Docs

Es en este punto que la cuenta puede verse comprometida: al dar la autorización, de hecho, el acceso a sus correos electrónicos no se otorgará a Google Docs sino al pirata informático, que solo puede desenmascararse haciendo clic en la palabra “Google Docs” detrás de la cual hay una cuenta de Gmail común.

El ataque es muy peligroso en primer lugar porque es difícil de desenmascarar: a primera vista, todas las solicitudes de autorización parecen legítimas; en segundo lugar, este método es capaz de eludir el mismo doble factor de autenticación, porque es el propio usuario quien se conecta y da acceso a los delincuentes por su propia voluntad, engañados por el procedimiento.

Cualquiera que reciba una solicitud de este tipo debe descartarla inmediatamente; si alguien ya se había enamorado de él, es posible que los piratas informáticos ya hayan descargado toda la correspondencia de correo electrónico y hayan comenzado a enviar spam a los contactos.

El único remedio es conectarse a la página de permisos de Google, buscar la aplicación falsa de Google Docs y eliminar los permisos, y posiblemente volver a cambiar la contraseña. Así que es mejor correr la voz antes de que alguien pueda ser víctima de esta estafa.