ESET Latinoamérica alerta sobre cómo Google Forms, una herramienta de confianza, está siendo utilizada por ciberdelincuentes para ejecutar estafas, distribuir malware y robar información sensible a través de técnicas de ingeniería social.
Google Forms, la herramienta gratuita de creación de formularios y cuestionarios de Google lanzada en 2008, ha alcanzado gran popularidad: casi el 50 % de las encuestas en línea se realizan mediante esta plataforma. Sin embargo, según advierte ESET Latinoamérica, su uso extendido también ha atraído a ciberdelincuentes que abusan de su confiabilidad para llevar a cabo campañas de ingeniería social y distribución de malware.
“Google Forms ofrece una combinación peligrosa: es gratuito, confiable para los usuarios, legítimo ante los filtros de seguridad, fácil de usar y sus comunicaciones están cifradas con TLS”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. “Estas características lo convierten en una herramienta atractiva para los atacantes”, añade.
¿Cómo se explota Google Forms para estafas?
El principal objetivo de los ataques mediante Google Forms es engañar a las personas para que revelen su información personal y financiera. Las técnicas empleadas por los ciberdelincuentes incluyen:
- Formularios de phishing: Imitan marcas legítimas como bancos, redes sociales o plataformas de pago. Los usuarios reciben correos electrónicos falsificados que redirigen a formularios maliciosos diseñados para robar credenciales o información bancaria.
- Redireccionamiento a malware: Algunos formularios contienen enlaces que instalan malware encubiertamente en los dispositivos de las víctimas.
- Vishing a través de formularios: Los atacantes envían formularios falsos solicitando llamar a un número telefónico, haciéndose pasar por entidades confiables como bancos. La llamada conecta al usuario con miembros de redes de suplantación de identidad por voz, que intentan obtener datos confidenciales o instalan software de acceso remoto.
- Falsos concursos y encuestas: Se utilizan cuestionarios de Google Forms que, tras completarlos, redirigen a sitios fraudulentos donde se instala malware o se roba información personal.
Casos destacados
Entre las campañas de ataque más relevantes, ESET resalta:
- BazarCall: Amenaza basada en vishing donde correos fraudulentos simulaban ser de PayPal o Netflix, induciendo a llamar a números telefónicos engañosos mediante formularios falsos.
- Ataques a universidades estadounidenses: Se detectaron campañas de phishing dirigidas al sector educativo, en las cuales se enviaban correos y formularios falsos usando logotipos universitarios para robar credenciales o datos financieros.
¿Cómo protegerse de estas amenazas?
Para minimizar los riesgos, ESET recomienda:
- Usar software de seguridad multicapa confiable que detecte patrones sospechosos, incluso si el formulario de Google parece legítimo.
- No confiar en comunicaciones no solicitadas que pidan hacer clic en enlaces o llamar de forma urgente. Siempre verificar directamente en los canales oficiales.
- Utilizar contraseñas fuertes y únicas, almacenarlas en un gestor de contraseñas y activar la autenticación multifactor (MFA) para todas las cuentas.
- Prestar atención a las advertencias: Google alerta en todos sus formularios que nunca se deben enviar contraseñas a través de ellos.
«Si ocurre lo peor y crees que has sido víctima de un ataque mediante Google Forms, cambia todas tus contraseñas, escanea tus dispositivos en busca de malware, solicita a tu banco congelar tus tarjetas y activa la autenticación en dos pasos para todas tus cuentas», aconseja Camilo Gutiérrez Amaya.
Finalmente, ESET Latinoamérica subraya que la conciencia y la prevención siguen siendo las mejores herramientas frente a las amenazas de ingeniería social. Estar atentos a detalles sospechosos y actuar con precaución puede marcar la diferencia entre la seguridad y el robo de datos.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
