ESET: Estafas con Google Forms en campañas de phishing

ESET alerta sobre estafas con Google Forms en campañas de phishing. Una herramienta confiable, aprovechada con fines maliciosos.

ESET Latinoamérica, empresa reconocida en ciberseguridad y detección proactiva de amenazas, ha lanzado una advertencia sobre el uso fraudulento de Google Forms por parte de actores maliciosos. Esta plataforma, originalmente diseñada para crear encuestas y cuestionarios en línea, se ha convertido en una vía común para ejecutar ataques de ingeniería social y propagar software malicioso.

Google Forms, lanzado por Google en 2008 y actualmente utilizado en aproximadamente la mitad de las encuestas en línea, representa una oportunidad para los ciberdelincuentes. Según ESET, su popularidad, facilidad de uso y estatus como servicio confiable hacen que los atacantes puedan aprovecharla para manipular a los usuarios y extraer información sensible.

Los ciberdelincuentes valoran especialmente estas características de Google Forms:

Gratuita y accesible: permite campañas masivas con poco gasto.
Confianza del usuario: al ser un producto de Google, reduce la sospecha.
Difícil de detectar: muchas herramientas de seguridad no marcan estos formularios como amenazas.
Fácil de usar: incluso atacantes sin experiencia pueden crear formularios convincentes rápidamente.
Cifrado y URLs dinámicas: dificultan la detección por parte de filtros de seguridad.

Técnicas de engaño más utilizadas

La mayoría de las campañas fraudulentas con Google Forms buscan robar información financiera o personal. ESET enumera distintas formas en las que estos ataques se presentan:

Phishing con formularios falsos: se utilizan formularios que imitan sitios legítimos como bancos, universidades o plataformas populares. A menudo llegan a las víctimas a través de correos electrónicos falsificados, algunos incluso enviados desde cuentas legítimas que han sido comprometidas.

Objetivos del engaño:

Robar credenciales para acceder a cuentas.
Obtener datos financieros como tarjetas de crédito o criptomonedas.
Redirigir a sitios que instalan malware de manera invisible.

Una modalidad en auge es el vishing a través de formularios: los delincuentes piden a los usuarios llamar a un número telefónico que aparece en el formulario, simulando ser una entidad bancaria u otro servicio de confianza. Esto suele ir acompañado de mensajes alarmantes para inducir decisiones precipitadas. Si la víctima llama, hablará con un estafador que intentará obtener más datos o incluso solicitará la instalación de programas de acceso remoto.

El engaño detrás de concursos y cuestionarios

Los atacantes también explotan la función de quiz en Google Forms para simular concursos. Al finalizar el formulario, se muestra un botón para ver resultados que en realidad redirige a páginas de phishing o instala malware.

Ejemplos de campañas que han usado esta táctica incluyen:

BazarCall: suplantación de servicios como Netflix o PayPal, alertando sobre cargos falsos y pidiendo llamar a un número fraudulento.
Ataques a universidades de EE.UU.: correos con apariencia institucional enlazaban a formularios falsos para obtener credenciales académicas o bancarias.

Ver también

Amazon Alexa: Protege tu privacidad en 5 pasos clave

Sofia Manaure·9 abril, 2025

Recomendaciones clave de ESET para protegerse

ESET insiste en que la educación y la conciencia son las mejores armas frente a estas amenazas. Recomiendan:

Usar software de seguridad confiable con múltiples capas de defensa, capaz de detectar amenazas incluso cuando el formulario parece legítimo.
Sospechar de urgencias no solicitadas, como correos que piden llamar o hacer clic rápidamente. Es mejor contactar por vías oficiales.
Emplear contraseñas fuertes y únicas, guardadas en gestores de contraseñas, y activar siempre la autenticación en dos pasos.
Prestar atención a las advertencias de Google, como la leyenda: “Nunca envíes contraseñas a través de los formularios de Google”.

¿Qué hacer si se cae en la trampa?

Si crees que has sido víctima de un fraude usando Google Forms, ESET sugiere:

Cambiar de inmediato tus contraseñas.
Escanear el dispositivo con software antimalware.
Contactar al banco para bloquear tarjetas.
Activar el doble factor de autenticación en todas las cuentas.
Supervisar movimientos financieros y correos inusuales.

“Siempre hay que tener una actitud crítica frente a los mensajes inesperados, incluso si provienen de fuentes aparentemente confiables”, concluye Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

La Universidad de Zúrich hace experimento de IA en Reddit

Visa de estudiante de un doctorado en IA en EE. UU. revocada por error

Creatividad e innovación en la era de la inteligencia artificial: el verdadero reto de diferenciarse

ZTE presenta en México el nuevo Blade V60 Smart

IFA 2024: DJI, dron con IA, bicicletas eléctricas y mucho más

Celebrando el Día del Gamer con JBL

GM Sectec y Pentera refuerzan la ciberseguridad con PCI DSS 4.1