Se descubrió una reciente estafa que se aprovecha de un "agujero" en la privacidad del servicio de calendarios de Google. A través de un ataque de phising, los ciberdelincuentes engañan a los usuarios para que entreguen sus credenciales de tarjetas de crédito. El problema afecta a los 1.500 millones de usuarios de los servicios de Google alrededor del mundo.
Google no es solo un buscador de sitios en internet, sino un ecosistema completo de aplicaciones como Gmail, Calendar, Google Drive, Google Photos, Google Translate y la lista sigue. Para los usuarios, esto genera un valor de conveniencia al poder aprovechar diferentes servicios a través de una solo combinación de usuario y contraseña. Pero para los atacanes esto genera un "hueco" por donde colar sus ataques: Google no filtra los avisos de sus propios servicios como spam.
La estafa del calendario
A través del servicio de Google Calendar, usado para organizar reuniones, los spammers lograron envíar invitaciones masivas a los usuarios de Google; las cuales llegaban en forma de correo electrónico a Gmail.
Debido a que Google Calendar está diseñado para permitir que cualquier persona pueda invitar a una reunión, tanto Calendar como Gmail (que recibe la notificación) están completamente bien con cualquier don nadie que programe una reunión. Los spammers utilizan los campos de ubicación y tema para transmitir los detalles. Por lo general, los detalles de correo no deseado consisten en un pequeño texto que indica se que tiene derecho a un pago en efectivo por algún motivo, y un link que supuestamente le permite recibirlo.
En la mayoría de los casos, se redirigía al usuario a un sitio web con un cuestionario simple que ofrecía premios en efectivo. Para recibir la recompensa, se le solicita al usuario un pago "de trámite" para el cual debe ingresar los detalles de su tarjeta de crédito y agregar cierta información personal, como nombre, número de teléfono y dirección. Esta información va directamente a los estafadores que la utilizan para robar dinero o la identidad.
“La estafa del calendario es una estratagema muy eficaz, porque la gente está más o menos acostumbrada a recibir mensajes de spam en correos electrónicos o a través de mensajes instantáneos y no confían de inmediato en ellos. Pero puede que este no sea el caso cuando se trata de la aplicación de calendario, cuyo propósito es organizar la información, más que transferirla. La buena noticia es que no es necesario tomar medidas complejas para evitar este tipo de estafa, pues la función que la hace posible se puede desactivar fácilmente en la configuración del calendario", dijo Maria Vergelis, investigadora de seguridad en Kaspersky, la empresa de ciberseguridad que dió a conocer el caso.
¿Cómo protegerse?
La primera línea de defensa es muy sencilla de ejecutar. Es necesario desactivar la adición automática de invitaciones a los calendarios: para ello, dentro de Google Calendar; en la configuración, se hace clic en el ícono del engrane (las opciones) y luego en configuración de eventos.Dentro del menú desplegable de la opción "agregar invitaciones automáticamente", y seleccionar "No, solo mostrar las invitaciones a las que he respondido".
También se conocieron casos de phishing desde las plataformas de Google Forms, Google Photos e incluso Google Analytics.