Esta misma semana te contábamos que Google Docs había sufrido sofisticado ataque de phishing. La amenaza se extendió como la pólvora en miles y miles de buzones de correo electrónico.
Sin embargo, esta amenaza podría haber sido anticipada por la propia Google. Los cibercriminales que estarían detrás de este ataque podrían haber copiado justo esa técnica descubierta hace ya más de 6 años.
Esto significa que Google podría haber estado al corriente de que algo así podría ocurrir. Y esto es grave si tenemos en cuenta que estamos ante un ataque de proporciones cíclopeas.
Aunque ha afectado a un 0,1% de los usuarios de Gmail y este porcentaje parezca irrisorio, conviene no perder de vista que el correo electrónico de Google tiene la friolera de mil millones de usuarios. Esto significaría que al menos un millón de propietarios de cuentas de Google habrían podido ser víctimas del ataque.
La solución al problema llegó pronto
La solución a la vulnerabilidad en cuestión llegó pronto. Si bien es cierto que nadie duda de la capacidad de los ingenieros de Google, llama la atención que el parche llegara tan pronto.
El equipo de la de Mountain View consiguió que ese famoso mensaje de correo electrónico fuera detectado como spam. Esto hizo que ya no llegara a manos de la gran mayoría de usuarios.
Parece ser que esta efectividad tendría que ver con el hecho de que Google ya tuviera constancia de la posibilidad de un ataque de este tipo. En 2011 un tal Andre DeMarre, experto en seguridad, contó al mundo cómo podría llevarse a cabo un ataque de phishing de estas características.
La estratagema se agarraría al sistema de permisos de la aplicación, basado en el estándar OAuth 2. El mismo que usan un buen número de proveedores de aplicaciones web.
Esto facilitaría el acceso de los hackers y la vulneración de la nube, el correo electrónico y en este caso, el acceso a todo el ecosistema de Google. Los sitios que se usaron para este ataque usaban dominios imitando a Google.
Tal como te contamos justo después del descubrimiento del ataque, este emplearía un script de Google Apps. Se usaría, digamos, el sistema de Google contra sí mismo, entregando todos los permisos a una aplicación llamada Documentos de Google.
Lo más probable es que al leer algo parecido como «Google Inc.», confiemos sin extrañarnos en el documento. Mucho más si además de esto, el correo parece que procede de uno de nuestros contactos. Que es justo lo que ocurrió en este caso.
Just got this as well. Super sophisticated. pic.twitter.com/l6c1ljSFIX
— Zach Latta (@zachlatta) May 3, 2017
Google habría sido advertida
El investigador Andre DeMarre habría enviado un informe a Google contándole la naturaleza de este ataque. Y parece, además, que lo habría hecho a través de un programa específico que la compañía abre para recibir avisos sobre posibles agujeros de seguridad peligrosos.
Tanto es así que Google compensó económicamente a DeMarre por su labor de investigación. Según este hombre, para detectar posibles fraudes sería suficiente con comprobar el nombre de la aplicación y la URL. Sería imprescindible, pues, que coincidieran.
Tiempo después, el equipo de Google se puso en contacto con el investigador para indicarle que no sería necesario seguir el ritual propuesto por él mismo. ¿La razón? Habrían encontrado un nuevo sistema para comprobar si alguien estaba intentando vulnerarlo.
En cualquier caso, los atacantes que pusieron en marcha este ataque se permitieron el lujo de usar «Google Docs» para llevarlo a cabo. Esto hizo que fuera difícil darse cuenta de que en realidad se trataba de una peligrosa amenaza.
Lo peor de todo es que en ataques futuros, podrían usarse nombres empleados comúnmente en los archivos de Drive para ser todavía más sibilinos en el ataque. A no ser que Google no lo permita, desplegando un sistema de protección más efectivo que el actual.
Hola, Cecilia.
Dices que «un millón de propietarios de cuentas de Google habrían sido estafados».
¿Estafados o atacados?.
No es lo mismo.
Estimado Pepe:
Gracias por tu aportación, ya hemos puntualizado esta información.
¡Un saludo!