Hace sólo un par de días, los usuarios de Gmail se vieron expuestos a un masivo ataque de phishing mediante el que hackers lograron hacerse con los datos personales de las víctimas. Como resultado, se estima que hasta el 0.1% de los usuarios de Gmail se vieron afectados, un porcentaje a 1 millón de víctimas. Sin embargo el caso ha tomado un giro inesperado y bizarro, pues un investigador en seguridad alega haber alertado a Google hace 6 años sobre la posibilidad de que hackers utilizarán la técnica de phishing que al parecer resultó muy efectiva.
En este ataque de phishing, los usuarios son invitados a que abran un archivo en Google Docs. La URL en realidad, corresponde a una App Web que simula el nombre de Google Docs y solicita permisos a la Google Account. Luego de otorgarle permisos, los hackers obtienen acceso inmediato a todos nuestros datos asociados.
Andre DeMarre, investigador en seguridad, asegura que en 2012 alertó a Google de que la técnica que irrumpió en Gmail hace unos días, podría ser explotada. De hecho, DeMarre asegura haber recibido una modesta recompensa por el informe. Además, sugirió de que Google debería de verificar si las Apps Web que solicitan acceso a Google Accounts coinciden con la URL. Google respondió, no obstante, que ellos no hacían ese tipo de validación. El tiempo pasó, y seis años después un ataque de gran magnitud fue llevado a cabo.
«Para ser claros, no estoy criticando a Google«, ha dicho DeMarre en un post en Hacker News. «Sólo estoy presentando una pieza de información que muestra el enfoque que ellos tomaron sobre este tipo de phishing en el pasado«.
Y continúa «La principal crítica que le hago a los diálogos de autorización tipo OAuth, no solo a los de Google, es que la mayoría de ellos no ofrecen mucha información técnica al usuario para verificar la autenticidad. Es como si el navegador web no mostrará la barra de direcciones«.
Google ha comenzado por invalidar la App Web que se hacía pasar por Google Docs; en Gmail para Android han implementado la verificación de enlaces, justo lo que DeMarre sugirió hace seis años. Aquellos usuarios que se vieron afectados, lo mejor que pueden hacer además de cambiar su contraseña a lo inmediato, es ingresar a la página de revisión de seguridad de Google. Desde ahí debe desautorizar las Apps Web de terceros que no recuerden haber autorizado voluntariamente. Si no están seguros, desautorizan todo y en el momento que sea requerido un servicio, volverá a pedir su autorización.
