Poco a poco se están revelando más detalles sobre el ataque de phishing de Google Docs y Gmail que hace unas horas afectó a millones de usuarios.

Por si no lo sabías: si te ha llegado un correo de Google Docs de que alguien ha compartido un archivo contigo, no lo abras. Es un ataque de phishing, y eso significa que ha sido diseñado para robarte la cuenta de Google.

Con un aspecto sorprendentemente parecido a los correos oficiales de Google Docs, es muy fácil caer en este ataque; si no nos fijamos en ciertos detalles (como la dirección a la que ha sido enviado), es fácil pulsar en el botón para abrir el supuesto archivo compartido. Y eso no es algo que haga todo el mundo.

El 0.1% de los usuarios de Gmail se ve afectado por el mismo ataque de phishing

Según la propia Google, el 0.1% de los usuarios de Gmail se ha visto afectado por este ataque. No parece mucho, hasta que recuerdas que Gmail tiene más de 1.000 millones de usuarios; eso significa que al menos más de un millón de personas han sido engañadas de esta manera.

phishing gmail

En honor a la verdad, hay que decir que la reacción de Google fue muy rápida. En apenas una hora los ingenieros de la compañía encontraron una solución; en estos momentos el correo es detectado correctamente como spam y el gusano ha sido desactivado.

Sin embargo, es posible que Google haya sido tan rápida porque ya era consciente de la posibilidad de este ataque. De hecho, este ataque no es nada nuevo, es algo que ya se discutió en 2011 en una lista de correo; Andre DeMarre, investigador de seguridad explicó entonces, con todo lujo de detalles, cómo sería posible realizar un ataque de phishing aprovechando la estructura de Google.

El ataque de phishing de Google Docs y Gmail fue previsto hace seis años

La clave estaba en crear una aplicación y registrarla en OAuth con un nombre parecido a Google como “Google Inc.”. OAuth es el mecanismo de autorización usado por Google, y por lo tanto los usuarios estamos condicionados a confiar en él; sin embargo, y como se ha demostrado hoy, es posible aprovecharse de esta confianza.

permisos google

La inmensa mayoría de los usuarios no se va a fijar en si es el nombre correcto, o si la aplicación que se va a conectar es la que debería; simplemente pulsará en aceptar porque es lo mismo que ha hecho en ocasiones anteriores.

Andre DeMarre llega a poner un ejemplo de cómo podría explotarse esto; y es sorprendentemente parecido con el ataque de phishing de hoy. La única diferencia es que la app que intentó robar nuestra información se llama “Google Docs”.

Peor aún: DeMarre asegura que en 2012 avisó a Google de esta vulnerabilidad, y que llegó a plantear una solución sencilla. Consistiría en comprobar que el nombre de la app que pide permiso encaja con la dirección URL que quiere cargar.

Google sabía que el ataque era posible

google

Google aceptó este informe, y llegó a recompensar a DeMarre, gracias a su programa de caza de bugs. Es decir, que Google sabía exactamente los detalles de este ataque y cómo evitarlo. Y sin embargo, no lo hizo.

Pocos meses después, Google contactó con DeMarre. Había decidido que no era necesario comprobar la URL, ya que había implementado otros métodos para detectar a posibles impostores.

Es evidente que estas medidas no fueron suficientes. Es difícil decir si la comprobación de URL que DeMarre propuso hubiera evitado el ataque, o si el atacante hubiese intentado otra cosa; pero una cosa está clara: que Google permitiese que el atacante usase el nombre “Google Docs” fue un fallo catastrófico.