Los usuarios de Gmail están sufriendo uno de los ataques de phishing más relevantes. El phishing es una técnica que consiste en suplantar otro servicio usando un anzuelo, de ahí que se pronuncie como pescar en inglés. Es un método que se suele utilizar para acceder a cuentas bancarias, por ejemplo, con una página que simula la original y guarda la clave del usuario para después acceder a la versión real en su nombre.
Ante la cantidad de quejas recibidas a través de redes sociales por parte de las propias víctimas, este miércoles Google reconoció que el ataque ha superado sus medidas de control y protección y ha dado una recomendación a sus usuarios: solo deben abrirlos mensajes para colaborar en un documento de Google Docs si están plenamente seguros de que el remitente es correcto y estaban esperándolo.
El equipo de seguridad de Google asegura que han tomado las medidas adecuada para neutralizar el ataque. “Hemos dado de baja las cuentas que infectaban, eliminado las páginas falsas y mantenemos comunicación con los afectados”, aseguran. Y añaden algo más complicado, que su equipo trabaja para evitar que vuelva a suceder.
Los afectados deben ir a la página donde se comprueban los permisos de acceso para revisar qué aplicaciones pueden entrar en nuestro nombre y desactivar todas las que no sean aquellas a las que ha dado consentimiento
Este tipo de robo de claves para adentrarse en espacios privados de Google Docs son una amenaza creciente desde 2014. Los atacantes muchas veces usan complementos de terceros que sirven para dotar de funcionalidades adicionales a los servicios de Google. Para poder usarlos los usuarios dan consentimiento para que entren en un cuenta solo con ese fin, algo que después pueden terminar violando.
El ataque usa una mecánica muy sencilla. Se envía un email de alguien que dice habernos añadido a un documento de GoogleDocs (muy habitual en el trabajo en grupo), y se pide que se haga clic para verlo. Al hacerlo, la siguiente pantalla es todavía real, no tiene trampa, en ella se muestran las diferentes cuentas asociadas en esa máquina (ya sea móvil u ordenador). A partir de ahí el sistema deriva a una página que parece similar a la original pero no lo es. Cuando el usuario lo percibe, los atacantes ya se han hecho con la contraseña, correos, todo…
Los afectados deben ir a la página donde se comprueban los permisos de acceso para revisar qué aplicaciones pueden entrar en nuestro nombre y desactivar todas las que no sean aquellas a las que el usuario ha dado consentimiento de manera consciente. Si aparece una denominada “Google Docs”, hay que quitar el acceso, esa es la intrusa que se hace pasar una versión legítima de Google.
Uno de lo peligros adicionales de este ataque es el potencial acceso a más servicios probando con la misma clave. A pesar de la recomendación general, son muy pocos los usuarios que optan por usar diferentes contraseñas para cada registro.
Google ya ha tomado una primera medida, actualizar la aplicación de Gmail para Android para poner un filtro adicional ante este ataque de phishing.
