Actualización, 13 de octubre de 2024: Esta historia, publicada originalmente el 11 de octubre, incluye detalles de una nueva iniciativa de alianza antiestafas de Google, una nueva advertencia sobre estafas de soporte que parecen legítimas y detalles del Programa de protección avanzada de Google para proteger las cuentas de alto riesgo.
Google ha implementado protecciones cada vez más sofisticadas contra aquellos que quieran comprometer su cuenta de Gmail, pero los piratas informáticos que utilizan ataques basados en inteligencia artificial también están evolucionando. Según las propias cifras de Google, actualmente hay más de 2.500 millones de usuarios del servicio Gmail. No es de extrañar, entonces, que sea un objetivo tan importante para los piratas informáticos y los estafadores. Esto es lo que necesita saber.
El último ataque a Gmail impulsado por IA es aterrador
Sam Mitrovic, consultor de soluciones de Microsoft, ha lanzado una advertencia después de casi ser víctima de lo que se describe como una “llamada de estafa de inteligencia artificial súper realista” capaz de engañar incluso a los usuarios más experimentados.
Todo empezó una semana antes de que Mitrovic se diera cuenta de la sofisticación del ataque que lo perseguía. “Recibí una notificación para aprobar un intento de recuperación de cuenta de Gmail”, relata Mitrovic en una publicación de blog en la que advertía a otros usuarios de Gmail sobre la amenaza en cuestión. La necesidad de confirmar una recuperación de cuenta, o un restablecimiento de contraseña, es una metodología de ataque de phishing notoria destinada a llevar al usuario a un portal de inicio de sesión falso donde debe ingresar sus credenciales para informar que la solicitud no fue iniciada por él.
Como era de esperar, Mitrovic no se dejó engañar y ignoró la notificación que parecía proceder de Estados Unidos y una llamada perdida, supuestamente de Google en Sydney, Australia, unos 40 minutos después. Hasta ahí, todo relativamente sencillo y fácil de evitar. Luego, casi exactamente una semana después, empezó la diversión en serio: otra notificación solicitando la aprobación de la recuperación de la cuenta seguida de una llamada telefónica 40 minutos después. Esta vez, Mitrovic no perdió la llamada y, en cambio, contestó: una voz estadounidense, que decía ser del servicio de asistencia de Google, confirmó que había actividad sospechosa en la cuenta de Gmail.
“Me pregunta si estoy de viaje”, dijo Mitrovic, “cuando le dije que no, me preguntó si había iniciado sesión desde Alemania, a lo que respondí que no”. Todo esto para generar confianza en el que llamaba y miedo en el receptor. Fue entonces cuando las cosas se pusieron oscuras rápidamente y realmente bastante astutas en el esquema general de phishing. La supuesta persona de soporte de Google informó a Mitrovic que un atacante había accedido a su cuenta de Gmail durante los últimos 7 días y ya había descargado datos de la cuenta. Esto hizo sonar las alarmas cuando Mitrovic recordó la notificación de recuperación y la llamada perdida de una semana antes.
Al buscar en Google el número de teléfono desde el que lo llamaban mientras hablaba, Mitrovic descubrió que, efectivamente, conducía a páginas de empresas de Google. Esta es una táctica inteligente que probablemente engañe a muchos usuarios desprevenidos, atrapados en el pánico del momento, ya que no se trataba de un número de soporte de Google, sino de recibir llamadas del Asistente de Google. “Al comienzo de la llamada, escuchará el motivo de la llamada y que la llamada es de Google. Puede esperar que la llamada provenga de un sistema automatizado o, en algunos casos, de un operador manual”,
informa amablemente al lector la página 100% genuina .
Otra estafa de soporte de Google impulsada por IA genera advertencias para los usuarios de Gmail
Garry Tan, el fundador de la firma de capital de riesgo y aceleradora de startups Y Combinator, ha recurrido a X, antes conocida como Twitter, para emitir una advertencia sobre otra estafa de phishing que describió como «bastante elaborada» y que también aprovecha la inteligencia artificial para presentarse como creíble. Una vez más, al igual que con la estafa que casi engañó a Sam Mitrovic, un consultor de seguridad (recuerde), esta última advertencia se refiere al contacto de un supuesto técnico de soporte de Google. No iría tan lejos como un comentarista en X que sugirió que la pista era que Google no tiene ningún tipo de soporte para los usuarios, pero no está tan lejos de la verdad cuando se trata de estas estafas: el soporte de Google no se pondrá en contacto con usted de la nada de esta manera. «No haga clic en sí en este cuadro de diálogo», advirtió Tan, «será víctima de phishing».
En el caso de la estafa que tenía como objetivo a Tan, el supuesto empleado de soporte de Google afirmó que la empresa había recibido un certificado de defunción y que un miembro de la familia estaba intentando recuperar su cuenta. En otras palabras, el que llamaba (y solo una IA podría ser tan estúpida) estaba comprobando que la persona que respondía estuviera viva. “Es una estrategia bastante elaborada para que permitas la recuperación de contraseña”, continuó Tan, pero se dio cuenta de que la pantalla de recuperación de cuenta que se le presentó tenía un campo de dispositivo que mostraba el nombre de un empleado de soporte de Google en lugar de un dispositivo real utilizado para acceder a la cuenta. Tan sugirió que quien haya diseñado la interfaz para la recuperación debería emplear algunas comprobaciones de expresiones regulares bastante básicas, o incluso detección de fraude basada en IA, en el campo de texto en cuestión. “Es trivial comprobar el nombre del dispositivo para esto”, concluyó. Parte de la estafa consistía en hacer que Tan volviera a añadir su número de teléfono móvil como parte del proceso de verificación para activar un cuadro de diálogo de recuperación de cuenta. Sin embargo, Tan era prudente: “Me han cambiado la SIM, así que sé que no debo tener mi móvil en mis cuentas nunca”, explicó Tan.
Cómo usar formularios de Google para que los contactos parezcan legítimos
También se ha visto a estafadores abusar de Google Forms, una herramienta gratuita en línea que forma parte de Google Workspace, para crear documentos de apariencia legítima que se envían como parte de estafas de soporte. Al enviar una copia del formulario a la dirección de destino, utilizando la opción de recibo de respuesta de Google Forms, el documento se envía a través de servidores genuinos de Google, lo que agrega legitimidad a la estafa. Al verificar el correo electrónico, se mostrará que proviene de workspacesupport@google.com, por ejemplo, lo que actúa para reducir las señales de alerta que el destinatario podría haber tenido. Una de estas estafas utilizó un formulario de este tipo para imitar un formulario de restablecimiento de contraseña de recuperación de cuenta, diciendo al objetivo que recibiría una notificación por SMS de un agente de soporte designado y dándoles el número para verificar. Este método de doble legitimidad es suficiente para engañar a muchas personas, la mayor parte del tiempo. En este caso, el error, y solo entonces si la persona del lado receptor era lo suficientemente inteligente como para darse cuenta, fue un proceso de restablecimiento de contraseña confusamente complejo y demasiado largo.
Lecciones que se pueden aprender de estos ataques casi fatales al soporte técnico de Google
Mitrovic hizo lo correcto, o al menos lo más parecido a colgar, y le pidió al supuesto técnico que le enviara un correo electrónico de confirmación, un correo electrónico que llegó poco después, desde un dominio de Google y que parecía genuino a todos los efectos. En ese momento, se dio cuenta de que el campo «para» contenía una dirección hábilmente camuflada que en realidad no era un dominio de Google, pero que, una vez más, podía engañar fácilmente a aquellos que no tenían conocimientos técnicos.
Sin embargo, la verdadera señal de alerta para Mitrovic fue cuando la persona que llamó dijo hola y, al no obtener respuesta, dijo hola nuevamente. “En ese momento, la lancé como una voz de IA porque la pronunciación y el espaciado eran demasiado perfectos”, dijo Mitrovic.
Vale la pena leer el blog original de Mitrovic, ya que contiene muchos más detalles técnicos y trabajo de investigación que no tengo espacio para cubrir en este informe. El conocimiento lo es todo, y la información sobre amenazas que proporciona este consultor es realmente invaluable para cualquiera que pueda encontrarse en una situación similar: más vale prevenir que curar.
Es casi seguro que el atacante habría continuado hasta un punto donde se iniciaría el llamado proceso de recuperación, en verdad este sería un portal de inicio de sesión clonado que captura las credenciales del usuario y probablemente el uso de algún tipo de malware que roba cookies de sesión para eludir la autenticación de dos factores si estuviera en su lugar.
Google lanza el Global Signal Exchange para luchar contra los estafadores
Google ha anunciado que ha unido fuerzas con la Global Anti-Scam Alliance y la DNS Research Federation para formar una nueva iniciativa en la batalla contra los estafadores. Global Signal Exchange actuará como una plataforma de intercambio de información en lo que respecta a estafas y fraudes, proporcionando información en tiempo real sobre la cadena de suministro de los delitos cibernéticos. Como primer miembro fundador de Global Signal Exchange, Google espera que la plataforma se convierta, en efecto, en un centro de intercambio global para el tipo de señales de inteligencia que están conectadas con los actores maliciosos y sus ataques.
Amanda Storey, directora sénior de confianza y seguridad de Google, afirmó que la colaboración “aprovecha las fortalezas de cada socio”. Dado que GASA cuenta con una extensa red existente de partes interesadas y la DNS Research Foundation con una plataforma de datos con más de 40 millones de señales existentes, “GSE tiene como objetivo mejorar el intercambio de señales de abuso, lo que permite una identificación y una interrupción más rápidas de las actividades fraudulentas en varios sectores, plataformas y servicios”.
El objetivo final, según confirmó Google, es crear una solución que no solo funcione a la escala casi impensable de Internet, sino que lo haga de una manera eficiente y, sobre todo, fácil de usar. Esto significa que las organizaciones que cumplan los requisitos podrán utilizarla para luchar contra los estafadores. Google ya tiene mucha experiencia en este campo, con una larga trayectoria de colaboración para ayudar a combatir el fraude. De hecho, como parte de las pruebas del nuevo Global Signal Exchange, Google compartió más de 100.000 URL maliciosas y consumió un asombroso millón de señales de estafa para su análisis. “Comenzaremos compartiendo las URL de Google Shopping que hayamos procesado de acuerdo con nuestras políticas contra estafas”, dijo Nafis Zebarjadi, gerente de productos de seguridad de cuentas de Google, “y a medida que adquiramos experiencia con el piloto, buscaremos agregar pronto datos de otras áreas de productos de Google relevantes”.
El Global Signal Exchange, o al menos el motor que lo impulsa, funciona en Google Cloud para permitir que todos los participantes compartan y consuman señales de inteligencia mientras “se benefician de las capacidades de inteligencia artificial de Google Cloud Platform para encontrar patrones y hacer coincidir señales de manera inteligente”, concluyó Storey.
Cómo mantenerse a salvo de las estafas más avanzadas en Gmail
Los deepfakes de IA no solo se utilizan para la pornografía y la política, sino que también se utilizan para perpetrar robos de cuentas aparentemente sencillos, como en este caso. Mantén la calma si alguien se acerca a ti diciendo que es del servicio de asistencia de Google, no te llamarán, por lo que hay una gran señal de alerta de inmediato y no sufrirás ningún daño si cuelgas. Utiliza las herramientas a tu disposición, irónicamente la propia búsqueda de Google y tu cuenta de Gmail, para hacer comprobaciones durante la llamada si te preocupa que pueda ser genuina e ignorarla pueda causarte daño. Busca el número de teléfono, mira de dónde viene realmente. Revisa tu actividad de Gmail para ver qué dispositivos, si los hay, además del tuyo han estado usando la cuenta. Toma nota de lo que dice Google sobre cómo mantenerse a salvo de los atacantes que utilizan estafas de phishing de Gmail . Lo más importante es que nunca te apresures a tomar una reacción instintiva, sin importar cuánta urgencia se inyecte en una conversación. Es ese sentido de urgencia en el que se basan los atacantes para desviar tu buen juicio normal y hacer clic en un enlace o entregar las credenciales.
Utilice el Programa de protección avanzada de Google, ahora con compatibilidad con clave de acceso
También recomendaría considerar la inscripción en el Programa de Protección Avanzada de Google, diseñado para usuarios como periodistas, activistas y políticos que pueden ser considerados titulares de cuentas de alto riesgo. Una de las desventajas del Programa de Protección Avanzada siempre había sido que requería la compra no de una, sino de dos llaves de seguridad de hardware para usarlas al iniciar sesión en la cuenta. La carga financiera se alivió recientemente a principios de año cuando Google anunció que el soporte de clave de acceso llegaría a los usuarios del Programa de Protección Avanzada.
La combinación de las protecciones que brindan ambas tecnologías hace que sea una obviedad para la mayoría de las personas que tienen una cuenta de Google, incluidos todos los usuarios de Gmail. He aquí el motivo. Para iniciar sesión en Google en cualquier dispositivo, se necesita la clave de acceso cuando se utiliza por primera vez, lo que significa que, incluso si un pirata informático hubiera obtenido su nombre de usuario y cuenta, sin el dispositivo en el que está almacenada esa clave de acceso (su teléfono inteligente) y sus datos biométricos necesarios para verificarla, no podría iniciar sesión. El uso de esto junto con la inscripción al Programa de Protección Avanzada, que restringe el acceso de la mayoría de las aplicaciones y servicios que no son de Google a los datos de su cuenta de Gmail, también hace que la recuperación de la contraseña y la cuenta suplantadas sea mucho más difícil de lograr. «Si alguien intenta recuperar su cuenta», dijo un portavoz de Google, «la Protección Avanzada toma medidas adicionales para verificar su identidad». Esto significa que puede llevar algunos días verificar que usted es quien dice ser y recuperar el acceso a su cuenta de Google. Pero significa que los piratas informáticos tampoco pueden entrar en ella simplemente mediante estafas. Forbes. D.W. Traducido al español
Contacto