Google Forms, la popular herramienta de creación de formularios y encuestas en línea lanzada por Google en 2008, se ha convertido en una plataforma clave para empresas, docentes, estudiantes y usuarios en general. De hecho, se estima que casi el 50 % de las encuestas online se realizan con esta solución gratuita. Sin embargo, su versatilidad y facilidad de uso también la han convertido en un vector cada vez más común para ataques de ingeniería social y distribución de malware.
En este artículo exploramos cómo los ciberdelincuentes están abusando de Google Forms para lanzar campañas de phishing, engañar a las víctimas, robar credenciales bancarias e incluso instalar software malicioso.
¿Por qué los atacantes eligen Google Forms para sus campañas?
Google Forms se ha convertido en una herramienta atractiva para los atacantes por múltiples razones:
-
Es gratuito, lo que permite lanzar campañas de phishing masivas sin coste.
-
Tiene alta credibilidad entre los usuarios, por lo que los enlaces parecen legítimos.
-
Evade filtros de seguridad tradicionales, al tratarse de un servicio legítimo y cifrado.
-
Es fácil de usar, permitiendo crear formularios en minutos, incluso sin conocimientos técnicos.
-
Emplea TLS y URL dinámicas, lo que complica la detección por parte de soluciones de seguridad de correo electrónico.
Estas ventajas, diseñadas para mejorar la experiencia del usuario, también son aprovechadas por los atacantes para disfrazar sus intenciones maliciosas y evadir controles automatizados.
¿Cómo se ven los ataques que utilizan Google Forms?
Los formularios maliciosos de Google se presentan como encuestas, formularios de inicio de sesión, concursos o notificaciones falsas de servicios conocidos. Los métodos más comunes incluyen:
Suplantación de identidad (phishing)
Los ciberdelincuentes diseñan formularios para que imiten páginas de acceso a bancos, redes sociales, plataformas educativas o servicios de pago como PayPal. Estos formularios se distribuyen principalmente por correos electrónicos falsificados, que aparentan proceder de fuentes confiables. El objetivo puede ser:
-
Capturar credenciales de acceso.
-
Robar datos bancarios o de tarjetas de crédito.
-
Redirigir a sitios maliciosos donde se instala malware de forma silenciosa.
Vishing: el fraude telefónico disfrazado de formulario
Algunas campañas incluyen números de teléfono falsos en los formularios, solicitando a la víctima que llame por supuestas actividades sospechosas. El formulario puede simular una alerta de banco o de cuenta bloqueada. Si el usuario llama, es atendido por un operador fraudulento que le pedirá acceso remoto a su equipo o datos financieros.
Este método, conocido como vishing (voice phishing), combina ingeniería social con técnicas psicológicas de presión y urgencia para lograr su propósito.
Formularios tipo concurso o «quiz»
También se han detectado cuestionarios falsos que simulan concursos o trivias. Al finalizar, el formulario dirige al usuario a un sitio donde supuestamente podrá ver los resultados, pero en realidad está siendo redirigido a sitios de phishing, estafas o malware.
Casos destacados de ataques con Google Forms
Campaña BazarCall
Una campaña de vishing muy conocida donde los atacantes enviaban formularios maliciosos haciéndose pasar por marcas como PayPal o Netflix. El objetivo era generar una falsa sensación de urgencia con cargos falsos e inducir a la víctima a llamar a un número de soporte fraudulento.
Ataques dirigidos a universidades en EE. UU.
Durante el último año, se registró un aumento de ataques dirigidos al sector educativo estadounidense, en los que se enviaban correos con enlaces a Google Forms que imitaban comunicaciones oficiales de universidades. El objetivo era el robo de credenciales o datos financieros.
Cómo protegerte de los formularios maliciosos de Google
La prevención y la conciencia del usuario son claves. Aquí te dejamos una serie de buenas prácticas para identificar y evitar este tipo de amenazas:
1. Usa protección de seguridad avanzada
Instala y mantén actualizado un software de seguridad multicapa en todos tus dispositivos. Este tipo de solución puede identificar formularios sospechosos, bloquear la instalación de malware y detectar patrones inusuales.
2. Sé escéptico con correos no solicitados
No hagas clic en enlaces ni llames a números de teléfono proporcionados en correos electrónicos que no esperabas, incluso si aparentan venir de fuentes confiables. Verifica siempre por canales oficiales.
3. Usa contraseñas fuertes y autenticación multifactor
Configura contraseñas únicas y seguras para cada cuenta y utiliza un gestor de contraseñas. Además, activa la autenticación multifactor (MFA), preferiblemente con una app de autenticación o una llave de seguridad física.
4. Verifica la autenticidad del formulario
Google muestra un mensaje de advertencia en sus formularios: “Nunca envíes contraseñas a través de los formularios de Google”. Si ves un formulario que solicita credenciales, desconfía de inmediato.
¿Qué hacer si fuiste víctima de un ataque con Google Forms?
Si sospechas que caíste en una estafa de este tipo:
-
Cambia tus contraseñas inmediatamente.
-
Activa MFA si aún no lo hiciste.
-
Haz un análisis completo de malware en tu equipo.
-
Contacta a tu banco para bloquear tarjetas o cuentas comprometidas.
-
Supervisa tus cuentas para detectar movimientos inusuales.
Conclusión
El uso de Google Forms para campañas de ingeniería social y malware está en aumento. Su legitimidad como herramienta de Google, su facilidad de uso y su amplia aceptación lo convierten en un objetivo perfecto para los ciberdelincuentes. La mejor defensa es la educación y la vigilancia constante.
Fuente: welivesecurity
