Cómo se utilizan los servicios de Google para distribuir spam

11 Jun 2019

Como ya sabes, Google es mucho más que una herramienta de búsqueda, también ofrece múltiples servicios que utilizan miles de millones de usuarios cada día: Gmail, Calendar, Google Drive, Google Fotos, Google Traductor y muchos más; cada uno de ellos integrados entre sí. Calendar está vinculado a Gmail, Gmail a Google Drive, Google Drive a Google Fotos y así sucesivamente.

Resulta muy práctico, ya que solo tienes que registrarte en uno para poder utilizarlos todos. Además, no tienes que intercambiar archivos y datos entre los diferentes servicios, Google lo hace por ti. Lo malo es que los estafadores online ya saben cómo aprovecharse de estas comodidades que ofrecen los servicios de Google para enviar spam o cosas mucho peores.

Los estafadores utilizan Calendar, Fotos, Drive, Storage, Analytics, Formularios y otros servicios de Google para distribuir spam.]

El spam mediante los servicios de Google: Calendar, Fotos, Drive, Storage, Analytics y Formularios

La tarea principal de los spammers es esquivar el filtro antispam y hacer llegar un correo electrónico a tu buzón de entrada. Como ya sabrás, los servicios de Google suelen enviar notificaciones por correo electrónico al buzón de entrada de Gmail y el módulo antispam de Google evita que las notificaciones de sus propios servicios se marquen como spam. Dicho esto, vamos a echar un vistazo a los servicios de Google que utilizan los ciberdelincuentes.

El spam en Google Calendar

Evidentemente, cuando alguien utiliza Google Calendar para organizar una reunión contigo, recibes una notificación. Pues los ciberdelincuentes han decidido utilizar este servicio para concertar citas en masa.

Y, como Google Calendar está diseñado para que cualquiera te envíe una invitación, ni Calendar ni Gmail (que recibe la notificación) ven nada malo en que un desconocido se ponga en contacto contigo para concertar una reunión.

Los ciberdelincuentes utilizan los campos de ubicación y temática para transmitirte la información. Por lo general, toda la información del spam consiste en un pequeño fragmento de texto que indica que tienes derecho a un pago por algún motivo y un enlace desde el que supuestamente puedes recibirlo.

Cómo utilizan Google Calendar los ciberdelincuentes

Después, más o menos es lo mismo: un enlace phishing desde el que los ciberdelincuentes intentan conseguir la información de tu tarjeta bancaria (aparentemente para enviarte el dinero) o la solicitud de una especie de tasa de transferencia para lucrarse antes de enviar el dinero (que, evidentemente, nunca recibirás).

Los atacantes también suelen utilizar Google Calendar para encuestas falsas que prometen un regalo a cambio. Y no hay nada que evite que utilicen esta misma estratagema para distribuir otros tipos de spam, phishing o, incluso, malware.

El spam en Google Fotos

Los ciberdelincuentes utilizan Google Fotos para compartir imágenes con comentarios que aludan a grandes cantidades de dinero que recibirás si respondes a la dirección de correo electrónico facilitada en el mensaje. A ojos del destinatario, parece un correo inofensivo de Google Fotos con el encabezado “Alguien ha compartido una foto contigo”.

La imagen de un cheque inexistente debería delatar de inmediato las intenciones de los estafadores. El cheque indica que, al pagar una pequeña comisión, se libera una suma más importante. Obviamente, cuando la víctima paga la comisión, los estafadores se esfuman.

Ejemplo de spam en Google Fotos

A los ciberdelincuentes les encanta Google Fotos precisamente porque permite que en una notificación de correo electrónico aparezca una imagen con comentario que, junto con un encabezado inofensivo, lo más seguro es que anime al usuario a abrir el mensaje.

El spam en Google Formularios

Los estafadores utilizan esta versátil herramienta de Google para crear formularios y encuestas con el objetivo de recopilar datos personales de los usuarios y enviar ofertas comerciales sin solicitud.

Cómo utilizan Google Formularios los ciberdelincuentes

Sus formularios para recopilar datos y su apariencia convincente han hecho de Google Formularios una de las opciones preferidas de los ciberdelincuentes para emitir estafas y phishing. Las víctimas rellenan los formularios sin sospechar con datos personales, información bancaria y similar.

El spam en Google Drive y Google Storage

Nuestros informes trimestrales de spam y phishing advierten una y otra vez a los usuarios de que los ciberdelincuentes llevan un tiempo utilizando el almacenamiento en la nube para ocultar su contenido ilegal. Después de todo, para los filtros antispam resulta muy complicado determinar si un correo electrónico es fraudulento basándose en un único enlace que consiste en una serie de símbolos aleatorios.

Distribuir spam mediante Google Drive

De este modo, se puede enviar cualquier cosa al destinatario, incluyendo malware, páginas phishing con formularios de recopilación de datos y publicidad molesta. La mayor parte del tiempo, estos enlaces dirigen a documentos en la nube (archivos de texto, hojas de cálculo, presentaciones) con una descripción más detallada y nuevos enlaces al “producto final”.

Otro ejemplo de spam en Google Drive

Google Storage es otro almacén de fuentes de spam con enlaces que redirigen a páginas de destino falsas y varias imágenes para su uso en correos spam.

El spam en Google Storage

El spam en Google Analytics

Este tipo de spam también ha aparecido en otros servicios populares de Google, como Google Hangouts, Google Ads y Google Analytics. En el último caso, los usuarios reciben un mensaje con un informe PDF adjunto con la estadística de visitas de un sitio web desconocido.

Ejemplo de spam en Google Analytics

Google Analytics permite que este archivo vaya acompañado de un texto y de un enlace, de lo que se aprovechan los ciberdelincuentes. Además, desde esta plataforma pueden dirigirse a empresas, ya que los propietarios de los sitios web suelen utilizar estos servicios.

El spam mediante servicios populares; el problema no está solo en Google

Pero los ciberdelincuentes van más allá de los servicios de Google y utilizan las redes sociales y otros servicios populares (Facebook, Twitter, Instagram) para enviar mensajes y comentarios de estafa. Es decir, utilizan cualquier servicio accesible al público en el cual los usuarios puedan añadir un texto a los mensajes del mismo servicio.

Otro problema es que muchos servicios están enlazados a los teléfonos móviles de los usuarios, por ello no solo reciben las notificaciones por correo electrónico, sino que también llega una alerta a la pantalla de su dispositivo. Ante estas notificaciones tan irritantes que aparecen por todos lados, la atención del usuario disminuye, por lo que es más probable que acceda a un enlace falso sin mirar.

El principal problema es que los mensajes enviados mediante un servicio legal tienen encabezados estándares que los filtros de spam suelen considerar como inofensivos. Además, los temas varían mucho, por lo que, para poder interceptar todos los casos, el filtro antispam debería ser muy severo, lo que generaría muchos falsos positivos. Los ciberdelincuentes se aprovechan de esto para explotar los servicios públicos a su costa.

Cómo protegerte contra la distribución de spam mediante Google y otros servicios populares

Por desgracia, no hay un remedio milagroso contra el spam. Además, la configuración necesaria depende del servicio y, en la mayoría de los casos, reduce su usabilidad.

Por ejemplo, en Google Calendar se puede desactivar la función que añade de forma automática los eventos, aunque el usuario no haya aceptado la invitación, pero esto también afecta a los eventos de auténtico interés. No obstante, seguramente el spam que se produce en esta aplicación sea el más intrusivo, por lo que tendría mucho sentido desactivar esta función.

Para ser justos, deberíamos mencionar que Google se esfuerza por combatir el spam y mantener alejados a los estafadores. Pero como el mismo gigante percibe, esta lucha no tiene fin. Tan pronto como los servicios de Google encuentren la forma de acabar con el spam (lo que conseguirán tarde o temprano), los ciberdelincuentes darán con otra estratagema que funcione.

Lo más importante es estar atento.

  • No abras mensajes de remitentes desconocidos.
  • No aceptes invitaciones de gente que no conoces.
  • No pulses ni hagas clic en enlaces de mensajes que no esperabas.
  • E instala una solución de seguridad de confianza con un módulo antispam para evitar al menos el spam que esquiva el filtro de Google.