Incidentes Asociados
Actualización, 13 de octubre de 2024: Esta historia, publicada originalmente el 11 de octubre, incluye detalles de una nueva iniciativa de alianza antiestafas de Google, una nueva advertencia sobre estafas de soporte técnico que parecen legítimas y detalles del Programa de Protección Avanzada de Google para proteger las cuentas de alto riesgo.
Google ha implementado protecciones cada vez más sofisticadas contra aquellos que quieran comprometer su cuenta de Gmail, pero los piratas informáticos que utilizan ataques impulsados por IA también están evolucionando. Según las propias cifras de Google, actualmente hay más de 2500 millones de usuarios del servicio Gmail. No es de extrañar, entonces, que sea un objetivo tan importante para los piratas informáticos y los estafadores. Esto es lo que necesita saber.
Sam Mitrovic, un consultor de soluciones de Microsoft, ha emitido una advertencia después de casi ser víctima de lo que se describe como una "llamada de estafa de IA súper realista" capaz de engañar incluso a los usuarios más experimentados.
Todo comenzó una semana antes de que Mitrovic se diera cuenta de la sofisticación del ataque que lo estaba atacando. "Recibí una notificación para aprobar un intento de recuperación de cuenta de Gmail", relata Mitrovic en una publicación de blog que advierte a otros usuarios de Gmail sobre la amenaza en cuestión. La necesidad de confirmar una recuperación de cuenta, o un restablecimiento de contraseña, es una metodología de ataque de phishing notoria destinada a llevar al usuario a un portal de inicio de sesión falso donde debe ingresar sus credenciales para informar que la solicitud no fue iniciada por él.
No es de extrañar, entonces, que Mitrovic no cayera en la trampa e ignorara la notificación que parecía originarse en los EE. UU. y una llamada telefónica perdida, que supuestamente era de Google en Sydney, Australia, unos 40 minutos después. Hasta aquí, todo relativamente sencillo y fácil de evitar. Pero casi exactamente una semana después, empezó la diversión en serio: otra notificación solicitando la aprobación de la recuperación de la cuenta seguida de una llamada telefónica 40 minutos después. Esta vez, Mitrovic no perdió la llamada y en su lugar contestó: una voz estadounidense, que decía ser del servicio de asistencia de Google, confirmó que había actividad sospechosa en la cuenta de Gmail.
“Me pregunta si estoy de viaje”, dijo Mitrovic, “cuando le dije que no, me preguntó si había iniciado sesión desde Alemania, a lo que respondí que no”. Todo esto para generar confianza en el que llamaba y miedo en el receptor. Fue entonces cuando las cosas se pusieron oscuras rápidamente y realmente bastante astutas en el esquema general de phishing. La supuesta persona del servicio de asistencia de Google informó a Mitrovic de que un atacante había accedido a su cuenta de Gmail durante los últimos 7 días y ya había descargado los datos de la cuenta. Esto hizo sonar las alarmas cuando Mitrovic recordó la notificación de recuperación y la llamada perdida de una semana antes.
Al buscar en Google el número de teléfono desde el que lo llamaban mientras hablaba, Mitrovic descubrió que, efectivamente, conducía a páginas de negocios de Google. Esta es una táctica inteligente que probablemente engañe a muchos usuarios desprevenidos que se vieron atrapados en el pánico del momento, ya que no se trataba de un número de soporte de Google, sino de recibir llamadas del Asistente de Google. “Al comienzo de la llamada, escuchará el motivo de la llamada y que la llamada es de Google. Puede esperar que la llamada provenga de un sistema automatizado o, en algunos casos, de un operador manual”, informa amablemente al lector la página 100% genuina.
Otra estafa de soporte de Google impulsada por IA genera una advertencia para los usuarios de Gmail
Garry Tan, el fundador de la empresa de capital de riesgo y aceleradora de empresas emergentes Y Combinator, ha recurrido a X, anteriormente conocida como Twitter, para emitir una advertencia sobre otra estafa de phishing que describió como "bastante elaborada" que también aprovecha la IA para presentarse como creíble. Una vez más, al igual que con la estafa que casi enga�ñó a Sam Mitrovic, un consultor de seguridad, recuerde, esta última advertencia se refiere al contacto de un supuesto técnico de soporte de Google. No iría tan lejos como un comentarista en X que sugirió que la pista era que Google no tiene ningún tipo de soporte para los usuarios, pero no está tan lejos de la verdad cuando se trata de estas estafas: el soporte de Google no se pondrá en contacto con usted de la nada de esta manera. “No haga clic en Sí en este cuadro de diálogo”, advirtió Tan, “será víctima de una estafa”.
En el caso de la estafa dirigida a Tan, la supuesta persona de soporte de Google afirmó que la empresa había recibido un certificado de defunción y que un miembro de la familia estaba intentando recuperar su cuenta. En otras palabras, la persona que llamaba (y solo una IA podría ser tan estúpida) estaba comprobando que la persona que respondía estuviera viva. “Es una estrategia bastante elaborada para que permita la recuperación de contraseña”, continuó Tan, pero se dio cuenta de que la pantalla de recuperación de cuenta que se le presentó tenía un campo de dispositivo que mostraba el nombre de un trabajador de soporte de Google en lugar de un dispositivo real utilizado para acceder a la cuenta. Tan sugirió que quien diseñó la interfaz para la recuperación debería emplear algunas comprobaciones de expresiones regulares bastante básicas, o incluso detección de fraude basada en IA, en el campo de texto en cuestión. “Es trivial comprobar el nombre del dispositivo para esto”, concluyó. Parte de la estafa consistía en hacer que Tan volviera a añadir su número de teléfono móvil como parte del proceso de verificación para activar un cuadro de diálogo de recuperación de cuenta. Sin embargo, Tan se dio cuenta de esto: "Me cambiaron la tarjeta SIM, así que sé que nunca debo tener mi celular en mis cuentas", explicó Tan.
Uso de Formularios de Google para hacer que el contacto parezca legítimo
También se ha visto a estafadores abusando de Formularios de Google, una herramienta gratuita en línea que forma parte de Google Workspace, para crear documentos de apariencia legítima enviados como parte de estafas de soporte. Al enviar una copia del formulario a la dirección de destino, utilizando la opción de recibo de respuesta de Formularios de Google, el documento se envía a través de servidores genuinos de Google, lo que agrega legitimidad a la estafa. Al verificar el correo electrónico, se mostrará que proviene de workspacesupport@google.com, por ejemplo, lo que actúa para reducir las señales de alerta que el destinatario podría haber tenido. Una de estas estafas utilizó un formulario de este tipo para imitar un formulario de restablecimiento de contraseña de recuperación de cuenta, diciéndole al objetivo que recibiría una notificación por SMS de un agente de soporte designado y le daba el número para verificar. Este método de doble legitimidad es suficiente para engañar a muchas personas, la mayor parte del tiempo. En este caso, el error (y solo si la persona que lo recibió fue lo suficientemente inteligente como para darse cuenta) fue un proceso de restablecimiento de contraseña confusamente complejo y demasiado largo.
Lecciones que se pueden aprender de estos ataques casi fatales al soporte de Google
Mitrovic hizo lo correcto, o al menos lo mejor después de colgar, y le pidió al supuesto empleado de soporte que enviara un correo electrónico de confirmación, un correo electrónico que llegó poco después, desde un dominio de Google y que parecía genuino a todos los efectos. EN ese momento, se dio cuenta de que el campo para contenía una dirección hábilmente disfrazada que en realidad no era un dominio de Google, pero que podía, una vez más, engañar fácilmente a aquellos que no tenían inclinaciones técnicas.
Sin embargo, la verdadera pista para Mitrovic fue cuando la persona que llamó dijo hola y, al no obtener respuesta, dijo hola nuevamente. "En ese momento, lo publiqué como una voz de IA, ya que la pronunciación y el espaciado eran demasiado perfectos", dijo Mitrovic.
Vale la pena leer el blog original de Mitrovic, ya que contiene muchos más detalles técnicos y trabajo de detective que no tengo espacio para cubrir en este informe. El conocimiento lo es todo, y la inteligencia de amenazas proporcionada por este consultor es realmente invaluable para cualquiera que pueda encontrarse en una situación similar: quien está prevenido está prevenido.
Es casi una certeza que el atacante habría continuado hasta un punto en el que se iniciaría el llamado proceso de recuperación, en verdad, este sería un portal de inicio de sesión clonado que captura las credenciales del usuario y probablemente el uso de algún tipo de malware que roba cookies de sesión para eludir la autenticación de dos factores si esta estuviera en su lugar.
Google lanza el intercambio de señales global para luchar contra los estafadores
Google ha anunciado que ha unido fuerzas con la Alianza Global Anti-Scam y la Federación de Investigación DNS para formar una nueva iniciativa en la batalla contra los estafadores. El Global Signal Exchange (https://www.gasa.org/global-signal-exchange) actuará como una plataforma de intercambio de inteligencia en lo que respecta a estafas y fraudes, proporcionando información en tiempo real sobre la cadena de suministro de delitos cibernéticos. Como primer miembro fundador del Global Signal Exchange, Google espera que la plataforma se convierta, en efecto, en un centro de intercambio global para el tipo de señales de inteligencia que están conectadas con los actores maliciosos y sus ataques.
Amanda Storey, directora sénior de confianza y seguridad de Google, dijo que la colaboración "aprovecha las fortalezas de cada socio". Dado que GASA cuenta con una extensa red existente de partes interesadas y la DNS Research Foundation con una plataforma de datos con más de 40 millones de señales existentes, "GSE tiene como objetivo mejorar el intercambio de señales de abuso, lo que permite una identificación y una interrupción más rápidas de las actividades fraudulentas en varios sectores, plataformas y servicios".
El objetivo final, confirmó Google, es crear una solución que no solo funcione a la escala casi impensable de Internet en sí, sino que lo haga de una manera eficiente y, sobre todo, fácil de usar. Esto significa que las organizaciones que cumplan con los requisitos podrán utilizarlo para contraatacar a los estafadores. Google ya tiene mucha experiencia en este campo, con una larga trayectoria de colaboración para ayudar a combatir el fraude. De hecho, como parte de las pruebas del nuevo Global Signal Exchange, Google compartió más de 100.000 URL maliciosas y consumió un asombroso millón de señales de estafa para su análisis. “Comenzaremos compartiendo las URL de Google Shopping que hayamos procesado de acuerdo con nuestras políticas contra estafas”, dijo Nafis Zebarjadi, gerente de productos de seguridad de cuentas de Google, “y a medida que adquiramos experiencia con el piloto, buscaremos agregar pronto datos de otras áreas de productos de Google relevantes”.
El Global Signal Exchange, o al menos el motor que lo impulsa, se ejecuta en Google Cloud para permitir que todos los participantes compartan y consuman señales de inteligencia mientras “se benefician de las capacidades de inteligencia artificial de Google Cloud Platform para encontrar patrones y hacer coincidir señales de manera inteligente”, concluyó Storey.
Cómo mantenerse a salvo de las estafas más avanzadas de Gmail
Las falsificaciones de inteligencia artificial no solo se utilizan para la pornografía y la política, sino también para perpetrar robos de cuentas aparentemente sencillos, como en este caso. Mantenga la calma si alguien se acerca a usted diciendo que es del servicio de asistencia de Google; no lo llamarán, por lo que hay una gran señal de alerta de inmediato y no sufrirá ningún daño si cuelga. Utilice las herramientas a su disposición (irónicamente, la búsqueda de Google y su cuenta de Gmail) para realizar comprobaciones durante la llamada si le preocupa que pueda ser genuina e ignorarla podría causarle daño. Busque el número de teléfono, vea de dónde proviene realmente. Revise su actividad de Gmail para ver qué dispositivos, si los hay, han estado usando la cuenta. Tome nota de lo que dice Google sobre cómo mantenerse a salvo de los atacantes que usan estafas de phishing de Gmail. Lo más importante es que nunca se deje apresurar a tomar una reacción impulsiva, sin importar cuánta urgencia se le inyecte a una conversación. Los atacantes confían en esa sensación de urgencia para desviar su buen juicio habitual y hacer clic en un enlace o entregar las credenciales.
Utilice el Programa de protección avanzada de Google, ahora con compatibilidad con claves de acceso
También le recomendaría que considere la posibilidad de inscribirse en el Programa de protección avanzada de Google, diseñado para usuarios como periodistas, activistas y políticos que pueden considerarse titulares de cuentas de alto riesgo. Una de las desventajas del Programa de protección avanzada siempre había sido que requería la compra no de una, sino de dos claves de seguridad de hardware para usar al iniciar sesión en la cuenta. La carga financiera se alivió recientemente a principios de año cuando Google anunció que la compatibilidad con claves de acceso llegaría a los usuarios del Programa de protección avanzada.
La combinación de las protecciones que brindan ambas tecnologías hace que sea algo obvio para la mayoría de las personas con una cuenta de Google, incluidos todos los usuarios de Gmail. Aquí le explicamos por qué. Para iniciar sesión en Google desde cualquier dispositivo, es necesario introducir la clave de acceso la primera vez que se utiliza, lo que significa que, incluso si un hacker hubiera conseguido tu nombre de usuario y tu cuenta, no podría iniciar sesión sin el dispositivo en el que está almacenada la clave de acceso (tu smartphone) y los datos biométricos necesarios para verificarla. El uso de esta opción junto con la inscripción en el Programa de Protección Avanzada, que impide que la mayoría de las aplicaciones y servicios que no son de Google accedan a los datos de tu cuenta de Gmail, también hace que sea mucho más difícil recuperar la contraseña y la cuenta mediante phishing. “Si alguien intenta recuperar tu cuenta”, afirmó un portavoz de Google, “la Protección Avanzada toma medidas adicionales para verificar tu identidad”. Esto significa que puede llevar unos días verificar que eres quien dices ser y recuperar el acceso a tu cuenta de Google. Pero significa que los hackers tampoco pueden entrar en ella mediante estafas.