Una de las principales razones por las que usar los productos de Google es que están interconectados entre ellos. Si usamos Gmail, por ejemplo, podemos leer documentos de Google Docs que nos envíen como adjuntos, sin tener que cambiar de app o de pestaña en el navegador; sin embargo, ahora EL ESPAÑOL – El Androide Libre ha podido comprobar lo peligroso que puede ser esta conexión entre apps.

En una prueba realizada por este medio, se ha podido comprobar la gravedad de los ataques posibles con una técnica que aprovecha la conexión entre dos apps de Google: Docs y Gmail. Por una parte, Google Docs es uno de los procesadores de texto más recomendables y una alternativa gratuita a Microsoft Word; además de las funciones básicas, cuenta con muchas opciones de colaboración con otros usuarios, que permiten escribir documentos en grupos de varias personas. Y Gmail no necesita presentación, siendo el servicio de correo electrónico más popular del planeta.

El ataque, que ya está siendo usado, permite usar la conexión entre ambos servicios para saltarse las medidas de seguridad de Gmail, y mostrar enlaces peligrosos al usuario que pueden ser usados para robarle la cuenta entre otras cosas. La clave está en la función que permite invitar a otros usuarios para colaborar en nuestro documento además de mencionarlos para indicar que deben prestar atención a una parte del texto; para realizar esta mención, sólo es necesario tener la dirección de correo de la persona.

La técnica consiste en crear un documento con un mensaje que intenta pasarse por una empresa o por otra persona, como un correo de ‘phishing’ convencional, e incluir el enlace malicioso. En el correo observado por EL ESPAÑOL – El Androide Libre, el mensaje se intentó hacer pasar por una empresa que prometía “una bonificación en criptomonedas”, y pedía la autenticación del usuario para recibir el dinero virtual pulsando en el enlace incluido.

Captura de pantalla de correo malicioso en Gmail a través de Google Docs El Androide Libre

Sin embargo, el enlace en realidad es malicioso, algo que se puede ver fácilmente porque dirige a una página alojada por Google Apps Script; este servicio permite a los desarrolladores alojar el código de sus apps y automatizaciones. En este ataque concreto, se usa para ejecutar una macro que realizará acciones directamente en nuestra cuenta de Google. De esta manera, los atacantes pueden tomar el control de nuestra cuenta o incluso de nuestro dispositivo, dependiendo de si aprovechan vulnerabilidades presentes en el sistema. Si ya hemos pulsado en el enlace, lo recomendable es cambiar la contraseña de nuestra cuenta de Google, y usar alguna medida de seguridad adicional como la autenticación en dos pasos.

Este ataque no se diferencia mucho de otros parecidos, y la mayoría de las personas recibe muchos correos semejantes a diario, pero no se da cuenta porque el filtro de Gmail los detecta y los manda directamente a la carpeta de spam; lo inteligente de este ataque es que se aprovecha de la falta de seguridad entre las apps de Google. Y es que el correo no es enviado directamente por el atacante, sino por Google Docs, que automáticamente nos envía el correo para avisarnos de que nos han mencionado en un documento. Como Gmail confía en Google Docs para enviarnos correos, el spam malicioso se planta en nuestra bandeja de entrada como si fuese un mensaje fiable. Por el momento, Google no se ha pronunciado sobre este tipo de ataques, y si está desarrollando algún método que pueda detectarlos y bloquearlos.

Te puede interesar

• Un fallo en Google Chrome permite que hackers te espíen: así te puedes proteger
• Cualquiera puede controlar tu ordenador y tu móvil sin permiso: así es el brutal fallo descubierto en Bluetooth
• Actualiza WinRAR ahora mismo: Google descubre que hackers de Rusia y China están aprovechando un ‘bug’