### Ciberdelincuentes Explotan Google Forms para Robar Criptomonedas en Ataques Dirigidos

#### Introducción

Durante los últimos meses, expertos en ciberseguridad han detectado una preocupante tendencia que afecta de manera directa al sector de las criptomonedas: el uso fraudulento de Google Forms para lanzar campañas de phishing sofisticadas. Analistas de Kaspersky han identificado una nueva oleada de ataques dirigidos que se aprovechan de la confianza depositada en los servicios de Google para suplantar plataformas de intercambio de criptomonedas y obtener credenciales de acceso de usuarios desprevenidos.

#### Contexto del Incidente o Vulnerabilidad

El vector de ataque se basa en la utilización de Google Forms, una herramienta gratuita y ampliamente utilizada por empresas y particulares para recopilar información. Los atacantes, conociendo la dirección de correo electrónico de una posible víctima, diseñan formularios que imitan a la perfección las notificaciones oficiales de exchanges de criptomonedas populares. Estos mensajes, enviados desde cuentas legítimas de Google, eluden fácilmente los filtros antispam y antiphishing tradicionales, lo que incrementa significativamente el ratio de éxito de la campaña.

El auge de los activos digitales y la falta de regulación homogénea en el sector han convertido a los usuarios de criptomonedas en objetivos prioritarios para los actores de amenazas. Según Chainalysis, los fraudes relacionados con criptomonedas movieron más de 14.000 millones de dólares en 2023, y el uso de plataformas legítimas para la distribución de ataques está en aumento.

#### Detalles Técnicos

##### Vectores de Ataque y Tácticas

El escenario más habitual comienza con la obtención del correo electrónico de la víctima —a través de brechas previas o recopilación en foros—. Los atacantes crean un formulario en Google Forms que simula una alerta de seguridad o una notificación de bloqueo de cuenta procedente de un exchange conocido (por ejemplo, Binance, Coinbase o Kraken). El formulario solicita a la víctima que introduzca información sensible como claves privadas, frases de recuperación (seed phrase), contraseñas o códigos 2FA.

El envío se realiza desde la propia infraestructura de Google, lo que permite eludir mecanismos de protección basados en listas negras y reputación de dominios. Además, los atacantes emplean técnicas de *social engineering* para aumentar la urgencia y el miedo en las víctimas, un TTP (Tactics, Techniques and Procedures) bien documentado en el framework MITRE ATT&CK (técnica T1566.002: Phishing vía servicios de terceros).

##### Indicadores de Compromiso (IoC) y Herramientas

– URLs de Google Forms con nombres de formularios y descripciones que simulan alertas oficiales.
– Remitentes con direcciones de Google (ejemplo: forms-noreply@google.com).
– Solicitud explícita de credenciales, seed phrase o datos bancarios.
– Redirección a sitios de phishing tras completar el formulario.

Hasta el momento, no se han reportado exploits automatizados vía frameworks como Metasploit o Cobalt Strike en esta campaña, aunque ya existen scripts personalizados para monitorizar y extraer las respuestas en tiempo real.

##### Versiones y Plataformas Afectadas

Todas las versiones y dispositivos que permitan acceso a Google Forms pueden verse afectados, incluyendo móviles y escritorios, y no dependen de vulnerabilidades en los sistemas operativos sino en la manipulación del usuario.

#### Impacto y Riesgos

El impacto de este tipo de campañas es elevado. En el caso de que una víctima proporcione su seed phrase o credenciales, los atacantes pueden vaciar las carteras en cuestión de minutos, sin posibilidad de reversión. Al tratarse de activos no custodiados, las pérdidas son irreparables. Las víctimas corporativas pueden ver comprometidos fondos de tesorería, claves de acceso a exchanges empresariales y datos personales de empleados.

Entre los riesgos adicionales destaca el posible uso de los datos robados para ataques de spear phishing, suplantación de identidad y fraude posterior. El impacto reputacional para las plataformas de criptomonedas es también considerable, aunque la responsabilidad legal puede ser limitada si la brecha se produjo por ingeniería social y no por un fallo de seguridad propio.

#### Medidas de Mitigación y Recomendaciones

– **Formación y concienciación**: Imprescindible sensibilizar a usuarios y empleados sobre la imposibilidad de que un exchange legítimo solicite seed phrases o credenciales a través de formularios públicos.
– **Implementar DMARC, DKIM y SPF**: Aunque el ataque utiliza infraestructuras legítimas, estos controles pueden ayudar a reducir la exposición a campañas de spoofing.
– **Monitorización avanzada**: Configurar reglas en SIEM y soluciones de correo para alertar sobre la recepción de formularios de Google con solicitudes sospechosas.
– **Bloqueo selectivo**: Revisar la política de acceso a servicios externos y restringir el acceso a Google Forms si no es estrictamente necesario.
– **Notificación y respuesta**: Establecer procedimientos de respuesta rápida para revocar accesos y transferir fondos en caso de sospecha de compromiso.

#### Opinión de Expertos

Especialistas en ciberseguridad consultados subrayan la sofisticación y el bajo coste de esta técnica. Según David Barroso, CEO de CounterCraft, “el aprovechamiento de plataformas legítimas es una tendencia clara en las campañas de phishing avanzadas. La clave está en la formación continua y la adopción de soluciones de detección basadas en comportamiento, más que en reputación de dominio”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas sujetas a regulaciones como el RGPD y la inminente NIS2, este tipo de incidentes puede derivar en sanciones económicas y daños reputacionales graves. La protección de los datos personales y de los activos digitales requiere una revisión continua de las políticas de seguridad y de la arquitectura de acceso a plataformas externas.

Los usuarios particulares deben extremar las precauciones y desconfiar de cualquier solicitud de información confidencial recibida por correo electrónico, incluso si parece provenir de servicios legítimos.

#### Conclusiones

El uso malicioso de Google Forms para perpetrar robos de criptomonedas representa una evolución significativa en las técnicas de phishing. La facilidad de eludir controles tradicionales y el aprovechamiento de la ingeniería social hacen de este vector una amenaza real e inmediata para el sector. La prevención pasa por la concienciación, la monitorización proactiva y la aplicación de medidas técnicas y organizativas adecuadas.

(Fuente: www.cybersecuritynews.es)