Protegiendo tu PYME: Google Forms y los Riesgos de Ciberseguridad

Desde su lanzamiento en 2008, Google Forms se ha consolidado como una de las herramientas más utilizadas para la creación de encuestas y formularios en línea. Gratuita, accesible y con el respaldo de una de las grandes tecnológicas del mundo, la plataforma ha ganado una enorme cuota de mercado y se estima que domina cerca del 50% del sector a nivel global. Sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que su uso extendido también incluye los fines maliciosos y a los actores de amenazas, que son expertos en abusar de tecnologías populares.

Expertos en ciberseguridad alertan de que las características que hacen de Google Forms una solución tan atractiva para los usuarios -su gratuidad, facilidad de uso y apariencia legítima- también son aprovechadas por los atacantes para generar contenido fraudulento que evade muchas medidas de protección convencionales. Los ciberdelincuentes ya están usando Google Forms para recopilar información confidencial de sus víctimas e incluso engañarlas para que instalen malware. "Estos ataques son un claro ejemplo de cómo los ciberdelincuentes aprovechan herramientas de confianza para reforzar la apariencia de legitimidad de sus campañas", advierte Josep Albors, director de investigación y concienciación de ESET España. La popularidad de un servicio no garantiza su seguridad.

¿Por qué Google Forms es Atractivo para los Ciberdelincuentes?

Google Forms ofrece una gran oportunidad como forma de legitimar estafas y evadir filtros de seguridad. Desde ESET mencionan que los ciberdelincuentes lo prefieren por algunas de sus características clave:

• Es más rápido, fácil y barato que crear un sitio dedicado al phishing.
• Es menos probable que sea bloqueado por los filtros de seguridad.
• Genera URLs dinámicas, su detección se vuelve más complicada para los sistemas de seguridad basados en análisis estáticos y firmas.

Los recientes informes de Abnormal Security han sacado a la luz una táctica cada vez más prevalente en los ataques de phishing: el uso estratégico de Google Forms. El modus operandi identificado involucra a grupos como BazaCall, enviando correos electrónicos que imitan notificaciones de suscripciones de servicios populares como Netflix o Norton Antivirus.

Principales Técnicas de Ataque Utilizando Google Forms

El repertorio de técnicas maliciosas ha evolucionado más allá del tradicional phishing. La mayoría de los ataques mediante Google Forms tienen por fin engañar a los usuarios y hacerles entregar su información personal y financiera. Aunque existen ligeras variaciones en la forma, estas son algunas de las principales técnicas que destacan desde ESET para tener en cuenta:

1. Phishing y Suplantación de Identidad

"Los formularios maliciosos de Google Forms son diseñados para suplantar marcas legítimas, como páginas de inicio de sesión de redes sociales, bancos y universidades, o incluso plataformas de pago. Es más rápido, fácil y barato que crear un sitio dedicado al phishing, y es menos probable que sea bloqueado por los filtros de seguridad", comenta Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica. Normalmente, se recibe un enlace a uno de estos formularios de Google maliciosos a través de un correo electrónico de suplantación de identidad, que puede estar falsificado para hacerse pasar por una marca o un remitente legítimos. El correo electrónico puede incluso proceder de una cuenta legítima que ha sido secuestrada. En cualquier caso, el objetivo final suele ser obtener datos de acceso o financieros.

Ejemplos comunes de phishing:

• Phishing bancario mediante formularios falsos: Los estafadores crean formularios que imitan las páginas de inicio de sesión de bancos conocidos. Estas campañas de phishing suelen llegar a las víctimas a través de correos electrónicos alarmistas que informan de un problema urgente en su cuenta bancaria.
• Suplantación de PayPal y plataformas de pago: Los atacantes envían correos electrónicos falsificados, aparentando ser notificaciones oficiales de PayPal sobre actividades sospechosas o pagos no autorizados. El enlace proporcionado lleva a un formulario de Google que solicita el inicio de sesión en PayPal y detalles de la tarjeta de crédito.
• Phishing dirigido a universidades: Google detectó un aumento de los ataques contra el sector educativo. Las víctimas recibieron correos electrónicos de phishing que contenían un enlace a un formulario de Google malicioso, ambos diseñados para parecer enviados por la universidad, con logotipos y referencias al nombre de la universidad.

Esquema de un ataque de phishing utilizando Google Forms.

2. Vishing (Phishing por Voz) y Call Back Phishing

Una de las modalidades que más preocupan en la actualidad es el llamado call back phishing, en el que el formulario simula una notificación de un cargo sospechoso, instando al usuario a llamar a un número de atención al cliente fraudulento. Los atacantes envían un formulario malicioso de Google para engañar al usuario y que llame así a un número de teléfono que aparece allí. El formulario puede estar diseñado para que parezca enviado por un banco u otro proveedor de servicios de confianza. Generalmente, tendrá un sentido de urgencia para llevar a tomar una decisión precipitada: llamar al número sin pensarlo bien antes. La excusa, frecuentemente, es que la cuenta será bloqueada o que se retiró o retirará dinero.

Desde ESET advierte que si se llama a ese número, se hablará con un miembro de una banda de suplantación de identidad por voz (vishing) que intentará convencer para que se entregue información personal y financiera. También puede sugerir que se descargue un software de acceso remoto al equipo, lo que les daría el control total del mismo. El modelo BazarCall, originado como una técnica de estafa telefónica, también se ha adaptado para utilizar Google Forms como parte del engaño. Los formularios solicitan datos personales, y si la víctima llama, un falso operador de "soporte" la guía para instalar programas de acceso remoto bajo el pretexto de cancelar el cargo.

Ejemplos de vishing/call back phishing:

• Falsos avisos de soporte técnico: La víctima recibe un correo electrónico que le informa de un supuesto problema de seguridad en su cuenta o dispositivo. Se le indica que debe seguir un enlace para resolver la situación urgentemente. El enlace lleva a un Google Form donde se solicita información o la instalación de un software "de soporte remoto".
• Estafas BazarCall adaptadas a Google Forms: Todo comienza con un correo electrónico que notifica al destinatario de una suscripción no deseada a un servicio de pago, como antivirus premium o plataformas de streaming. Para cancelar la supuesta suscripción, el correo indica que el usuario debe rellenar un formulario de Google o llamar a un número de atención al cliente.

3. Distribución de Malware

En lugar de los habituales correos electrónicos de phishing o páginas de descarga falsas, los atacantes están utilizando Google Forms para iniciar la cadena de infección. El ataque suele comenzar cuando la víctima descarga un archivo ZIP relacionado con el ámbito empresarial a través de un enlace incluido en un formulario de Google Forms. PureHVNC es un RAT modular basado en .NET perteneciente a la familia de malware "Pure". En pocas palabras, permite a los atacantes controlar de forma remota un dispositivo infectado y les permite robar información confidencial. Hemos encontrado varios formularios de Google Forms que contienen enlaces a archivos ZIP maliciosos que dan inicio a la cadena de infección.

Estos formularios resultan muy convincentes, ya que suplantan nombres, logotipos y enlaces de empresas reales. Los mensajes fraudulentos utilizan los nombres de empresas conocidas, especialmente de los sectores financiero, logístico, tecnológico, de la sostenibilidad y energético. Los archivos ZIP suelen contener archivos legítimos (como archivos PDF con descripciones de puestos de trabajo) y un archivo ejecutable junto con una DLL, que suele llamarse msimg32.dll. Hemos identificado múltiples variantes de esta campaña, cada una de las cuales utiliza métodos distintos para extraer el archivo, código Python diferente y estructuras de carpetas variables. En todas estas variantes, la campaña suele incluir un archivo ejecutable junto con un archivo DLL oculto en una carpeta separada. El archivo final.zip se descomprime mediante distintos comandos en las campañas analizadas en una carpeta aleatoria dentro de ProgramData. A continuación, un script de Python ofuscado llamado config.log se ejecuta. En última instancia, descodifica y ejecuta un código shell de Donut. Al final de la cadena de infección, se inyectó PureHVNC en SearchUI.exe. El uso de Google Forms es un método muy eficaz para distribuir malware.

Flujo de un ataque de malware utilizando un formulario de Google como vector inicial.

4. Otras Estafas y Fraudes

• Concursos de preguntas y respuestas: Los ciberdelincuentes pueden abusar de la función de cuestionario de Google Forms, creando un cuestionario de preguntas y respuestas para hacer al usuario participar en un supuesto concurso. El formulario contenía detalles de un cargo falso que está a punto de aplicarse, a menos que el destinatario llame al número de teléfono facilitado. Asimismo, ESET ha detectado un creciente abuso de la función de "cuestionarios" de Google Forms, mediante la cual se incluyen direcciones de correo de las víctimas en tests aparentemente inofensivos.
• Falsas ofertas de empleo y robo de identidad: El fraude laboral ha sido otra modalidad explotada utilizando Google Forms. Cuando un candidato muestra interés, se le envía un enlace a un formulario donde debe completar un proceso de “preselección”. El formulario suele solicitar datos personales muy detallados, como número de identificación, dirección, número de cuenta bancaria e incluso fotografías de documentos oficiales. En muchos casos notificados en 2023 y 2024, los atacantes utilizaron la información recopilada para cometer fraudes financieros, solicitar créditos a nombre de las víctimas o vender sus datos en mercados ilegales.

Tipos de Ataques con Google Forms y sus Objetivos

A continuación, se presenta una tabla resumen de los principales tipos de ataques que utilizan Google Forms y lo que buscan los ciberdelincuentes:

Recomendaciones de Ciberseguridad para PYMES y Usuarios

El equipo de ESET asegura que la concientización es la base para mitigar el impacto de amenazas de ingeniería social de este tipo. Si se presta atención a la forma que tiene para intentar engañar a los usuarios, será más difícil tomar malas decisiones. Desde el banco BBVA, consideran que la mejor protección frente a los ataques de ingeniería social es la información y la concienciación. “El avance tecnológico y digital debe ir acompañado de buenos hábitos. Al final, de lo que se trata es de cambiar la cultura de ciberseguridad y de protección de las personas, intentar conseguir que sea algo muy natural.”, explica Sergio Fidalgo, CISO de BBVA.

Desde ESET y BBVA, se recomienda tener en cuenta lo siguiente:

1. Utiliza contraseñas fuertes y únicas, y autenticación multifactor (MFA).
   • Crea contraseñas con más de 12 caracteres combinando letras mayúsculas, letras minúsculas y símbolos.
   • Crea contraseñas únicas para cada cuenta en lugar de volver a usar las anteriores.
   • No uses información personal, palabras habituales ni letras consecutivas del teclado (por ejemplo, "qwerty").
   • Un gestor de contraseñas, como este de Google, te ayudará a seguir todas las recomendaciones anteriores.
   • Opta por activar la autenticación multifactor (MFA) para todas las cuentas, de esa forma aunque filtre u obtengan una contraseña, no podrán acceder a la cuenta. Lo mejor es una llave de seguridad basada en hardware o una aplicación de autenticación.
2. Utiliza software de seguridad multicapa y mantén tus sistemas actualizados.
   • Utilizar software de seguridad multicapa de un proveedor de confianza en computadoras y dispositivos móviles. Esto ayudará a garantizar que, incluso si se hace clic en un enlace malicioso, se bloquee la descarga del malware.
   • Habilita las actualizaciones automáticas para estar actualizado en seguridad y protección integrada frente a cualquier malware, ransomware y suplantación de identidad (phishing).
   • Evita aplicaciones y software que no ofrezcan opciones de seguridad.
3. Presta atención y no confíes en solicitudes urgentes no solicitadas.
   • No fiarse de nada no solicitado que solicite que se haga clic en un enlace o llamar a un número urgentemente. En su lugar, ponerse en contacto con el remitente por los canales oficiales.
   • Prestar atención: Google siempre muestra una advertencia en los formularios de Google: "Nunca envíes contraseñas a través de los formularios de Google".
4. Gestiona el acceso a tus documentos y datos.
   • Establece con claridad las funciones de los empleados que pueden ver, editar y compartir información.
   • Monitoriza la red de tu empresa y todos los dispositivos conectados.
   • Comprueba los últimos ajustes de seguridad de tus dispositivos.
5. Realiza copias de seguridad de forma periódica.
   • Haz copias de seguridad de forma periódica de los archivos y datos fundamentales para la empresa, de manera que puedas recuperarlos en caso de un fallo en el sistema o un ciberataque.
6. Establece normas y forma a tus empleados.
   • Asegúrate de que tu empresa tenga normas y empleados preparados para instalar software o usar dispositivos, así como un proceso claro para hacer frente a ataques de suplantación de identidad (phishing) y otras amenazas de seguridad.
   • Entender la importancia de la ciberseguridad y cómo puede afectar a los negocios es clave para hacer frente a los desafíos y seguir creciendo.

¿Qué hacer si has sido víctima de un ataque?

“Si ocurre lo peor y crees que has sido víctima de un ataque a Google Forms, cambia tus contraseñas, realiza un escaneado de malware y pide a tu banco que congele las tarjetas (si has enviado los datos de la tarjeta). Activa el doble factor de autenticación en todas las cuentas, si aún no lo has hecho, y supervisa tus cuentas para detectar cualquier actividad inusual.”

Iniciativas de Apoyo a la Ciberseguridad para PYMES

Con el objetivo de sensibilizar a las pequeñas y medianas empresas -sean o no clientes de BBVA- y que puedan incrementar su ciberseguridad, el banco ya ofrece varios itinerarios formativos a través de la plataforma Coursera. En concreto, un curso enfocado a ‘managers’ y otro dirigido a los profesionales de la tecnología. En ellos se abordan los conceptos básicos de la seguridad digital para que las pymes puedan evaluar las implicaciones que tiene para los empleados, la empresa, los usuarios y los clientes. De esta manera, se pueden adquirir unos hábitos seguros y gestionar de forma correcta los riesgos de la era digital.

BBVA se ha unido a Google con el tour ‘Protege tu negocio’, que consistirá en sesiones presenciales que buscan conectar y apoyar a las pequeñas empresas en su seguridad online. “Es fundamental acompañar a las pymes y los autónomos en su transformación digital mediante la formación en ciberseguridad”, asegura Begoña García, responsable global de concienciación y formación de ciberseguridad en BBVA. Las sesiones - cuyo contenido ha sido creado por Google y BBVA- serán impartidas por expertas de Women for CyberSecurity Spain, una asociación sin ánimo de lucro que promueve el talento femenino en el ámbito de la ciberseguridad. En estas sesiones se mostrarán casos reales de pequeñas empresas que han sufrido ciberataques y los principales aprendizajes de su experiencia. Los encuentros son gratuitos y podrán seguirse también vía ‘streaming’. En los últimos años, y gracias a iniciativas como esta, BBVA ha formado en ciberseguridad a más de 69.000 mil personas, cerca de 1.000 pymes y empresas; y más de 90.000 empleados de BBVA.