Brechas en la fortaleza de Google: del 'malware' en su tienda al 'phishing' en Docs
Solo en EEUU existen, mientras se escribe este artículo, 623 direcciones activas de phishing. Ocurre todos los días, las 24 horas: los cibercriminales simulan un sitio web para engañar al usuario y que así introduzca sus credenciales para robárselas. El último en sufrirlo ha sido Google en Gmail con cientos de correos de spam que, al entrar en ellos, llevaban a perder el control sobre la cuenta. El aviso lo dio el foro Reddit y horas después la noticia corría como la pólvora. Moraleja: si te llega una invitación para editar un documento en Google Docs, no la aceptes.
No es la primera vez que el servicio de correo del buscador es utilizado con este propósito. Por ejemplo, en enero, otro phishing intentó hacerse con los datos de los usuarios de Gmail a través de un .pdf insertado como archivo adjunto que conducía a una web idéntica al 99% a la que sirve para logearse en Gmail. Según Eusebio Nieva, director técnico de Check Point para España y Portugal, ahora los cibercriminales han incluido un nivel nuevo, los “sitios de autenticación delegada, donde te autenticas con las credenciales de Google (por ejemplo) en sitios que no son de Google”.
Un portavoz de la compañía explica a eldiario.es que en esta ocasión “hemos conseguido frenar la campaña en el transcurso de una hora”. Sin embargo, el ataque no era capaz de completarse sin el OK del usuario, que, como si de una app se tratase, solicitaba permiso para acceder a la dirección de correo, “leer, enviar, borrar emails y gestionar la cuenta”. También, algunos datos como el del remitente podían alertar al usuario, ya que o bien aparecía oculto o la dirección era “hhhhhhhhhhhhhhhh@mailinator.com”.
“Somos conscientes de que los usuarios están preocupados por sus cuentas de Google. Hemos tomado acción para proteger a los usuarios contra el spam que afectó a Google Docs, que ha impactado a menos del 0.1% de usuarios de Gmail”, explica la multinacional. Las acciones a las que se refiere Google incluyen “la eliminación de páginas y acciones falsas, la promoción de actualizaciones vía Safe Browsing, Gmail y otros sistemas anti-abuso”. El phishing ha sido capaz de acceder y utilizar la información de los contactos de los afectados, pero según la compañía, “no se ha expuesto ningún otro tipo de datos”.
A Google le crecen los enanos
Entre las víctimas también se encuentran varios periodistas de algunos medios de comunicación extranjeros como The Verge. Todo el mundo puede comprobar si en las últimas semanas puede haber sufrido el ataque accediendo a la página de seguridad de su cuenta de Google y comprobando los permisos que han otorgado últimamente. Si ven algo raro, mejor deshabilitar el acceso a esa aplicación.
A pesar de ello, la multinacional insiste en que “no es necesario que los usuarios tomen acción alguna”. Como siempre, el riesgo no está en este ataque en sí, sino en el resto de servicios a los que tenemos asociada la misma clave que en el correo de Gmail. Entre ellos la Play Store, la tienda oficial de la compañía que desde hace poco más de una semana ha visto cómo otro problema echaba raíces en los entresijos del sistema.
Se llama FalseGuide y aunque los primeros síntomas en forma de apps infectadas aparecieron en noviembre de 2016, el boom no ha tenido lugar hasta hace algo más de una semana. Su nombre no es al azar: el malware se esconde en aplicaciones que hacen las veces de guías para juegos como FIFA Mobile, LEGO o Pokemon Go. Ya afecta a más de dos millones de usuarios en todo el mundo y está escondido en unas 40 apps de la Play Store. “Estamos trabajando con Google cómo detectar todas las apps que puedan estar infectadas para que ellos las eliminen”, explica Nieva.
Todos quieren nuestros datos
FalseGuide no es diferente de Viking Horde o DressCode, otros malwares que han ido pasando por la Play Store escondidos en aplicaciones que nunca habrían sido considerado como sospechosas. “El problema no es que la app no arranque o no haga nada. La app es lo que dice ser, un juego, una guía... pero también lleva incluido un código malicioso que es muy difícil de detectar”, continúa el director técnico de Check Point. Por eso, ahora mismo la firma de ciberseguridad se encuentra inmersa en un proceso de busca-y-captura encontrando, primero, otras aplicaciones que también tengan ese script malicioso, algo parecido a lo que hacen los antivirus.
“Esa es la parte sencilla”, dice Nieva. “Una vez que tienes información del ataque, crear una firma es sencillo. El problema es detectar el ataque sin tener firmas ni conocimiento de ella”, como ha ocurrido en este caso. La firma de ciberseguridad sitúa el origen de la amenaza en Rusia: “Hemos localizado allí el origen de las comunicaciones que generaba”. El objetivo: robar nuestros datos y los de nuestro teléfono.
En muchos casos, la procedencia de estos malwares se sitúa en Europa del Este o Rusia. Nieva confirma que “son países tecnológicamente muy avanzados en el sentido de que tienen muchos buenos programadores”. Junto a ello, una regulación muy laxa que favorece la proliferación de hackers y lobos solitarios en esta materia: “Antes por lo menos, si no atacabas a un ruso, no te podían deportar ni hacer prácticamente nada. A pesar de que te denunciaran no tenías peligro. No te podían perseguir desde fuera ni te podían extraditar”, dice el director técnico de la firma de ciberseguridad.
Hace apenas un mes, un exinvestigador de la firma de seguridad Kaspersky dio la voz de alarma al asegurar que Vladimir Putin daba inmunidad diplomática a los hackers a cambio de que le proporcionasen datos robados. “Las leyes son bastante menos restrictivas que en otros países”, concluye Nieva.
A continuación, la lista de las apps afectadas cuyo nombre no contiene caracteres cirílicos. El listado completo puede consultarse aquí.appsaquí
