Cada vez que Google irrumpe en un nuevo sector, acostumbra a redefinir las reglas del juego. Así sucedió en 2008 con el lanzamiento de Google Forms, su herramienta gratuita para la creación de formularios y encuestas, que hoy, según estimaciones, concentra cerca del 50 % del mercado global. Sin embargo, esta misma popularidad ha convertido a la plataforma en un blanco atractivo para los ciberdelincuentes, que la utilizan como canal para estafas, robo de datos sensibles e incluso distribución de malware, aprovechando la confianza que despierta entre los usuarios.
La firma de ciberseguridad ESET alerta de que los atacantes se benefician de varias características de Google Forms para llevar a cabo sus campañas maliciosas. Entre ellas destacan su uso gratuito —ideal para operar a gran escala—, la credibilidad que transmite como servicio de Google, su apariencia legítima que facilita esquivar filtros de seguridad convencionales, y su interfaz sencilla, que permite ejecutar ataques elaborados sin requerir conocimientos técnicos avanzados. A esto se suman el cifrado TLS y las URLs dinámicas, factores que dificultan la detección automatizada de formularios fraudulentos por parte de muchas soluciones de seguridad.
Entre los métodos de ataque más utilizados destacan los formularios falsos que imitan páginas de inicio de sesión de redes sociales, bancos o universidades, diseñados para robar credenciales de acceso, datos bancarios o persuadir a las víctimas para instalar malware. También se han detectado campañas de “phishing por llamada” (call back phishing), donde el formulario engaña al usuario para que llame a un número y sea manipulado por grupos de vishing. Asimismo, los ciberdelincuentes abusan de la función de cuestionarios (quiz spam) al crear tests y añadir las direcciones de correo electrónico de las víctimas: al pulsar “publicar calificaciones”, se genera un mensaje que los atacantes pueden personalizar, incluyendo enlaces a sitios de phishing, malware o estafas.
Casos recientes incluyen la campaña “BazarCall”, que suplanta marcas reconocidas como PayPal o Netflix para informar de cargos falsos y solicitar llamadas a números fraudulentos, así como ataques dirigidos a universidades estadounidenses, donde los ciberdelincuentes buscan robar credenciales y datos financieros mediante formularios y correos electrónicos falsificados.
Según Josep Albors, director de investigación y concienciación de ESET España, “estos ataques son un claro ejemplo de cómo los ciberdelincuentes aprovechan herramientas de confianzas para reforzar la apariencia de legitimidad de sus campañas. Es fundamental que tanto usuarios como organizaciones sean conscientes de que la popularidad de un servicio no garantiza su seguridad. La prevención, combinada con soluciones de seguridad multicapa, es esencial para mitigar estos riesgos y proteger los datos personales y financieros”.
ESET recomienda a los usuarios seguir buenas prácticas de ciberseguridad para protegerse de estas amenazas: utilizar contraseñas robustas y únicas almacenadas en gestores de contraseñas, activar la autenticación multifactor (MFA) en todas las cuentas, prestar atención a los avisos que Google incluye en sus formularios (como la advertencia de no enviar contraseñas) y, sobre todo, desconfiar de correos electrónicos no solicitados que pidan realizar acciones urgentes.
En caso de sospechar haber sido víctima de una estafa de este tipo, se aconseja cambiar de inmediato las contraseñas, realizar un análisis de malware en los dispositivos, contactar con las entidades bancarias para bloquear posibles operaciones y activar medidas de seguridad adicionales en todas las cuentas.
