Logo Computerhoy.com

Google tuvo en sus manos evitar el desastre de seguridad de Google Docs

Jakub Motyka

El ataque de phishing de Google Docs ya era conocido por Google

Google Docs ha protagonizado esta semana un importante ataque de phishing orientado a robar las cuentas de los usuarios de Gmail. Pero este ataque de phishing, consistente en engañar al usuario para que caiga en la trampa de ceder sin ser consciente de ello los datos de su cuenta al atacante, ya estaba en conocimiento deGoogle... ¡desde hace casi seis años

Para ponernos en situación, debemos saber que esta semana se han estado distribuyendo por todo el mundo cientos de miles de correos electrónicos con invitaciones falsas a Google Docs en los que, una vez el usuario caía en la trampa de pulsar el botón de "Abrir en Docs", la víctima se convertía a su vez en verdugo y sin ser consciente de ello ayudaba a distribuir el correo infectado entre todos sus contactos. El ataque habría afectado al 0,1% de los usuarios de Gmail de todo el mundo, lo que se traduce en la nada despreciable cifra de casi un millón de personas.

Lo peor del asunto es que, tal y como ha revelado una reciente investigación, Googleya estaba al corriente de la existencia de este método para engañar mediantephishing a los usuarios de Gmail. Para ser exactos, la compañía recibió un detallado reporte de la situación allá por el año 2012, e incluso llegó a recompensar económicamente al autor del descubrimiento por su colaboración.

Toma nota: qué hacer si han hackeado tu cuenta a través de Google Docs

Pero, pese a que Google ya conocía la existencia de este elaborado método de phishing, la compañía aparentemente no tomó medidas suficientes para impedir que pudiera suceder la situación que ha terminado por afectar a cientos de miles de usuarios de todo el mundo. Los de Mountain View ya han bloqueado las cuentas responsables de este reciente ataque, pero lo que nadie se explica es cómo han podido los atacantes aprovecharse de un servicio de la propia Google -en este caso, Google Docs- para distribuir su anzuelo.

Tal y como señala en unas declaraciones Andre DeMarre, la persona que exactamente el día 4 de octubre del año 2011 publicó en la red la amenaza de seguridad que representaba que alguien aprovechara el nombre de un servicio de la propia gran G para distribuir un ataque, "estoy sorprendido de que [un fallo de seguridad] de este calibre haya tardado tanto tiempo en recibir esta atención".

Engañan a Google y Facebook para robarles 100 millones

El problema reside en que es precisamente una de las funciones más seguras deGooglela que, paradójicamente, ha representado en las últimas horas la mayor amenaza de seguridad para los usuarios. Desde hace mucho tiempo, Google ofrece la posibilidad de iniciar sesión de forma segura en diferentes servicios con tan solamente utilizar su propia página de inicio de sesión; el problema reside en que, si alguien se aprovecha de este inicio de sesión para camuflar una página falsa bajo el nombre de un servicio de la propia Google, el usuario queda completamente expuesto.

Google ya ha frenado la distribución de este ataque de phishing en Google Docs, pero nadie garantiza que de aquí a unos meses no pueda aparecer otro grupo de hackers dispuesto a aprovecharse de esta vulnerabilidad. Más le vale a los de Mountain View ponerse las pilas con su sistema de inicio de sesión.

[Fuente: Motherboard]

Conoce cómo trabajamos en Computerhoy.

Etiquetas: Gmail, seguridad, phishing