El formulario y la herramienta de construcción de preguntas es un vector popular para la ingeniería social y el malware. Aquí le mostramos cómo mantenerse a salvo. 23 de abril de 2025 •, 5 min. Lea cuando Google ingresa a un mercado en particular, a menudo significa malas noticias para los titulares. Así fue con Google Forms, la forma del gigante tecnológico y la herramienta de construcción de preguntas que se lanzó en 2008. Según una estimación, ahora tiene una cuota de mercado de casi el 50%. Sin embargo, con una gran participación de mercado viene un mayor escrutinio de los elementos nefastos. Los actores de amenaza son maestros anteriores para abusar de la tecnología popular para sus propios fines. Y lo están haciendo con los formularios de Google para cosechar información confidencial de sus víctimas e incluso engañarlas para que instalaran malware. ¿Por qué se forman Google? Los actores maliciosos siempre están buscando formas de agregar legitimidad a las estafas y evadir filtros de seguridad de correo electrónico. Google Forms ofrece una gran oportunidad para hacer ambas cosas. Se ve favorecido por los ciberdelincuentes porque es: gratis, lo que significa que los actores de amenaza pueden lanzar campañas a escala con un retorno potencialmente lucrativo de su inversión confiable por los usuarios, lo que aumenta las posibilidades de que las víctimas crean que el formulario de Google está siendo enviado o redirigido es legítimo un servicio legítimo, lo que significa que los usuarios maliciosos y también las formaciones y los enlaces maliciosos son a menudo a través de las herramientas de seguridad tradicionales por correo Cibercriminales: lo que significa que pueden lanzar campañas de phishing convincentes con muy poco esfuerzo o conocimiento previo de la herramienta Los cibercriminales también aprovechan el hecho de que las comunicaciones de Google Forms están encriptadas con TLS, lo que puede dificultar que las herramientas de seguridad hicieran un vistazo y verifiquen cualquier actividad maliciosa. Del mismo modo, la solución a menudo utiliza URL dinámicas, lo que puede hacer que sea difícil que algunos filtros de seguridad de correo electrónico detecten formularios maliciosos. ¿Cómo son los ataques de Google Forms? La mayoría de las amenazas de Google Forms usan la herramienta para engañar a los usuarios para que entreguen su información personal y financiera, aunque existen ligeras variaciones sobre cómo los actores de amenaza logran esto. Estas son algunas de las principales técnicas a tener en cuenta: los formularios de phishing relacionados con los actores de amenaza crean formularios de Google diseñados para falsificar marcas legítimas, como páginas de inicio de sesión para sitios de redes sociales, bancos y universidades, o incluso páginas de pago. Como se mencionó, la ventaja para los malos es que es más rápido, más fácil y más barato hacerlo que construir un sitio de phishing dedicado, y es menos probable que esté bloqueado por filtros de seguridad. Típicamente, recibirá un enlace a uno de estos formularios maliciosos de Google a través de un correo electrónico de phishing, que en sí mismo puede ser imponiendo una marca o remitente legítimo. El correo electrónico incluso puede provenir de una cuenta legítima que ha sido secuestrada. De cualquier manera, el objetivo final suele ser: cosechar sus registros, que luego se pueden usar para secuestrar cuentas y confirmar fraude de identidad robar los detalles de su tarjeta o información bancaria/cripto Formulario elaborado para engañarlo para que llame a un número de teléfono que figura en él. El formulario puede ser falsificado para que aparezca como si se envíe desde un banco u otro proveedor de servicios de confianza. Se crea un sentido de urgencia para apresurarte a tomar una decisión precipitada, llamando al número sin pensar en las cosas primero. A menudo, el formulario indicará que su cuenta será bloqueada o que el dinero fue tomado (o será tomado de su cuenta) a menos que se ponga en contacto. Una vez que vuelva a llamar, hablará con un miembro de una pandilla de Phishing (Vishing) que usa el encanto para convencerlo de que entregue información personal y financiera. También pueden sugerir descargar el software de acceso remoto a su máquina, lo que les daría control total sobre su computadora. Prueba cibercriminal de spam podría abusar de la función de prueba en los formularios de Google, creando una prueba y agregando su dirección de correo electrónico. Al presionar «puntajes de lanzamiento» generará un mensaje que el actor de amenaza puede personalizar, posiblemente agregando enlaces a los sitios de phishing, malware o estafa. Los ataques en la naturaleza entre las campañas de seguridad del mundo real han visto en los últimos años son: BazarCall una amenaza de tipo salpismo en la que las víctimas recibieron un correo electrónico que contiene una forma maliciosa de Google que se hace pasar por PayPal, Netflix o una de varias otras marcas de renombre. El formulario contenía detalles de un cargo falso que está a punto de aplicarse, a menos que el destinatario llame al número de teléfono suministrado. Phishing dirigido a las universidades estadounidenses Google detectó un aumento en los ataques al sector educativo de los Estados Unidos el año pasado. Las víctimas recibieron correos electrónicos de phishing que contenían un enlace a un formulario malicioso de Google. Tanto el correo electrónico y el formulario iniciales se falsificaron para que aparecieran como si se enviara la Universidad, presentando logotipos, mascotas y referencias al nombre de la universidad. El objetivo final era cosechar inicios de sesión y/o detalles financieros. Mantener sus defensas a la conciencia es la mitad de la batalla cuando se trata de mitigar el impacto de las amenazas de ingeniería social como esta. Ahora que sabes cómo operan los malos, debería ser más difícil para ellos engañarte para que tomes malas decisiones en línea. Para mantener a raya las amenazas de Google Form, considere lo siguiente: use un software de seguridad de múltiples capas de un proveedor de buena reputación en todas las computadoras y dispositivos móviles. Esto ayudará a garantizar que, incluso si hace clic en un enlace malicioso, se bloqueará la descarga de malware. El buen software también detectará patrones sospechosos, incluso si el formulario de Google en sí parece legítimo, así como escanear su máquina/dispositivo periódicamente y mantenerlo a salvo de cualquier cosa maliciosa. Manténgase alerta a posibles estafas de phishing. No debe confiar en nada no solicitado que le solicite que haga clic en un enlace o llame a un número con urgencia. En su lugar, respire profundamente, relájese y comuníquese con el remitente por separado; no a través del número o enlace proporcionado. Otra táctica útil es pasar el paso sobre los enlaces para verificar el destino real. Asegúrese de que su solución de seguridad de correo electrónico mejore la seguridad en el inicio de sesión utilizando contraseñas fuertes y únicas para cada cuenta, almacenadas en un administrador de contraseñas para un recuerdo fácil. Luego encienda la autenticación multifactor (MFA) para cada cuenta que use en línea. Esto significa que, incluso si los piratas informáticos obtienen su contraseña, no pueden acceder a su cuenta. Es la mejor clave de seguridad basada en hardware o una aplicación de autenticador. Preste atención: Google siempre muestra una advertencia en los formularios de Google, diciendo a los destinatarios «Nunca envíen contraseñas a través de los formularios de Google». Sigue su consejo. Si sucede lo peor y cree que ha sido víctima de un ataque de Formularios de Google, cambie sus contraseñas, ejecute un escaneo de malware y le diga a su banco que congele cualquier tarjetas (si ha enviado datos de la tarjeta). Encienda MFA para todas las cuentas si aún no lo ha hecho, y monitoree sus cuentas para cualquier actividad inusual. Simplemente leyendo este artículo, estará en un buen lugar cuando se trata de defender la amenaza de las formas maliciosas de Google. Sea escéptico de cualquier correo electrónico no solicitado que reciba, incluso si es de una marca de confianza.