Ayer Google fue víctima de un ataque de Phishing que según información interna pudo haberse evitado desde hace 6 años

El día de ayer  reportó a sus usuarios de Gmail que había sido víctima de un ataque de Phishing a través de un correo electrónico que llegaba a los usuarios invitándoles a colaborar en un documento de  que supuestamente uno de sus contactos les había compartido, el problema es que esa invitación era en realidad un sitio falso que instalaba un gusano capaz de leer todos tus correos electrónicos y contactos de tu agenda para seguir esparciéndose por la red.

Aunque el problema podría haberse evitado si los usuarios revisaran la dirección de correo de donde se enviaba esta invitación podrían percatarse que no se trataba de un dominio de por ningún lado.

Gracias a los reportes de usuarios, los ingenieros de  se percataron rápidamente del problema y lo solucionaron en tan solo una hora, desactivando el gusano y revocando los permisos que había obtenido el atacante. Por lo que es importante revisar la siguiente configuración de tu cuenta si es que recibiste este tipo de correo y accediste al documento de .

  1. Accede a los ajustes de tu cuenta en la opción de “aplicaciones conectadas a mi cuenta”, lo puedes hacer desde aquí.
  2. Si alguna aplicación dice “Docs”, entra en él para revocar los permisos.
  3. Después de este paso es recomendable cambiar la contraseña para estar totalmente seguros de que somos los únicos con acceso.
  4. Como precaución recuerda activar la verificación en dos pasos para estar lo menos expuestos a algún ataque a futuro.

Como lo mencionamos, después de una hora que reconoció el ataque lanzó el siguiente comunicado:

Hoy, ha lanzado una nueva herramienta para Gmail en Android, la cual  incluye controles anti-phishing, y que permitirá evitar ataques de este tipo, que día con día son cada vez más comunes. Lo que hace esta nueva herramienta es mostrar un mensaje de advertencia cada vez que un usuario haga clic en un vínculo sospechoso, ya que la mayoría de estos mensajes pueden ser detectados por el tipo de dirección desde donde son enviados.

Y a pesar de que no todos los mensajes que el sistema detecte como posible Phishing son precisamente ésto, al menos podrán advertir al usuario para que tome las precauciones adecuadas.

¿Por qué Google reparó el problema tan rápido, y por qué eso es malo?

El ataque de ayer afectó (según ) a solo el 0.1% de usuarios de la compañía, pero considerando que tienen más de 1,000 millones de cuentas activas, entonces cerca de 1 millón de personas fueron engañadas por este ataque de Phising.

El problema es que ya sabía que podían atacar de esta manera sus servicios, e incluso tenía una solución a este problema, sin embargo, nunca la implementó hasta el día de ayer.

En el 2011, André DeMarre, investigador de seguridad en aquel año, realizó una investigación donde descubrió y explicó cómo podría realizarse un ataque de Phishing aprovechando la propia estructura de , y 6 años más tarde alguien sacó provecho de esto.

Según DeMarre, lo único que habría que hacer era crear una aplicación y registrarla en OAuth con un nombre que fuera similar a alguno de los servicios de , ¿por qué OAuth?, porque este es un mecanismo de autorización utilizado por , de ahí que todos los que tenemos una cuenta en  usemos este tipo de servicio y confiemos en él.

Este tipo de procesos lo vemos siempre que  advierte sobre el permiso de alguna aplicación, por lo que es prácticamente un movimiento de rutina cada vez que habilitamos los permisos de algún programa o aplicación, así que la mayoría de los usuarios ni siquiera se toma la molestia de revisar qué y a quién está autorizando entrar a su cuenta.

A pesar de que André DeMarre explicó a  en el año 2012 sobre este ataque, la empresa lo compensó económicamente por haber encontrado el problema, incluso se encontró una solución muy sencilla a este ataque, aunque  decidió no implementarla en ese momento por alguna razón.

Gracias a ésto  pudo solucionar el ataque de ayer en tan solo 1 hora, aunque teniendo este tipo de información, la empresa no puede permitir que problemas de este tipo puedan afectar a una cantidad simbólica de usuarios, pues se ha dado cuenta que algo tan sencillo como un ataque con el nombre de “ Docs” puede ser realmente grave considerando que pudieron haber obtenido información mucho más sensible de todas las cuentas de usuario.