La nuevas tecnologías nos han abierto un nuevo mundo con múltiples opciones. Internet y las redes sociales permiten a los usuarios tener una navegación muy completa en la que pueden realizar todo tipo de actividades. Sin embargo, también conlleva unos riesgos al estar expuestos a nuevas amenazas, en ocasiones bien camufladas y con muy mala intención. Los ciberdelincuentes buscan cualquier resquicio para hacerse con datos personales o bancarios de todo aquel que puedan.

Existen multitud de formas de estafa en la nube, aunque quizás la más repetida es el phishing. Según explica el Instituto Nacional de Ciberseguridad (INCIBE), es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico.

La última suplantación está siendo a Google. La multinacional estadounidense cuenta con su motor de búsqueda, el más utilizado del mundo, como referencia, pero también ofrece otros servicios como Gmail, YouTube, Google Maps. La suplantación se realiza de la siguiente manera, según descubrió el ingeniero de software Nick Johnson. Él ha advertido sobre una campaña de phishing que suplanta a Google de una forma tan realista que ni siquiera la han detectado las protecciones de Gmail.

Así es la estafa que suplanta a Google

Esta estafa reproduce con bastante fidelidad las comunicaciones que envía esta compañía. En concreto, Johnson ha compartido un 'email' enviado desde accounts.google.com que recibió en su bandeja de entrada, que avisaba de una alerta de seguridad y que incluía un enlace a una webde soporte con dirección sites.google.com. La página que abría era una falsa de soporte, creada en Google Sites, la herramienta de Google que facilita la creación de una página web con un subdominio de Google.

En ella, además, se solicitaba la carga de documentos adicionales o se redirigía de nuevo a una página para iniciar sesión, que de nuevo replicaba la de Google. El ingeniero ha explicado que, especialmente en lo que respecta al correo electrónico desde el que se ha enviado, forma parte de lo que ha denominado "un ataque de phishing extremadamente sofisticado. Un vistazo más atento a la información del emisor le permitió comprobar que en realidad se había originado en una dirección privateemail.com.

Para conseguir que pareciera que provenía de Google, los atacantes registraron un dominio y crearon una cuenta de Google vinculada. Posteriormente, crearon una aplicación Google Oauth, dando acceso a la cuenta de Google. Este proceso resultó en el envío de un correo electrónico firmado por la propia Google, como explica el ingeniero de software en un hilo compartido en la red social X (antigua Twitter). Aunque Google no iba a corregir inicialmente este fallo de seguridad, Johnson asegura que Google ha reconsiderado su postura y va a solucionar el 'bug' de Oauth, según EP.

Estos son algunos de los correos recibidos

Como es habitual en el phishing, se busca que la víctima sienta urgencia para que actúe más rápido y puede ser engañada. Algunos ejemplos son los siguientes:

• "Detectamos actividad sospechosa en tu cuenta. Para mantener tu seguridad, verifica tu identidad aquí"
• "Tu cuenta de Gmail será suspendida si no actualizas tu información en las próximas 24 horas"
• "Google ha implementado una nueva medida de seguridad. Actívala ahora para evitar el cierre de tu cuenta"

No es la única técnica

Los ciberdelincuentes no se detienen ahí, también han lanzado campañas engañosas en Google Ads, presentando enlaces que prometen accesos directos a Google Authenticator o servicios de seguridad de Gmail. Estos anuncios fraudulentos se activan con términos como “iniciar sesión en Gmail” o “verificación en dos pasos”. Al aparecer tras una búsqueda, muchos usuarios hacen clic sin reparar en su apariencia sospechosa y son dirigidos a un sitio falso. Allí, se les pide que ingresen sus credenciales, que son capturadas al instante por los atacantes.

Las 'tres reglas de oro' de Google

En su página oficial, Google alerta de hasta 20 tipos de estafas que se pueden dar usando sus servicios. Además de detallarlas, ofrece tres consejos básicos para protegerse de cualquiera de ellas. La empresa estadounidense denomina esta clave como 'reglas de oro'. Son las siguientes:

• Conservar la calma: normalmente, las estafas se diseñan para crear una sensación de urgencia. Tómese su tiempo para hacer preguntas y pensarlo bien.
• Analizar en detalle: investigue para comprobar los datos que haya recibido. ¿Tiene sentido lo que le están diciendo?
• ¡Deténgase! No lo envíe: ninguna persona ni ningún organismo con buena reputación le pedirán que realice un pago ni que facilite información personal de repente.