Los cibercriminales están a la caza de nuevas presas, y uno de los ataques que más estamos viendo últimamente viene dado por el robo de cuentas de negocio en servicios como Google Maps.
Un problema que puede llegar a ser realmente grave para la compañía, sobre todo si se trata de negocios a pie de calle (la amplia mayoría de empresas que utilizan este tipo de perfiles), ya que pierden de golpe el acceso a la gestión de su negocio en servicios tan importantes como las búsquedas de Google o Google Maps.
A CyberBrainers, de hecho, nos llegan cada poco tiempo víctimas que ya han perdido acceso a sus cuentas, buscando la manera de poder recuperarlas.
Normalmente lo conseguimos, pero el proceso no es rápido, y pese a que lo consigamos, el daño reputacional ya está hecho.
Te explicamos en este artículo cómo funciona el ataque, y qué deberías hacer para proteger tu negocio.
Índice de contenido
Cómo funciona el robo de cuentas de negocios en GMB y otros servicios semejantes
En sí el ataque es muy sencillo.
Cualquiera puede reclamar la autoría de un negocio en Google My Business, el servicio que gestiona las fichas de negocio en el ecosistema Google.
Y lo mismo ocurre con Apple Maps, Bing Maps, Foursquare y, en definitiva, con cualquier servicio de gestión de negocios físicos.
Esto funciona así ya que no es raro que una dirección postal cambie de negocio. Eso y que en muchos de estos servicios se puede crear negocios… sin ser el dueño del mismo, simplemente avisando de que en esta dirección ahora hay un restaurante, o una tienda.
Con esto en mente, los cibercriminales lo que están haciendo es automatizar la petición de control sobre cientos de negocios.
Sin ir más lejos, a un servidor le llegó una alerta el 1 de enero a las 3 am de la mañana de un tal Tavoun Cambell, que aseguraba ser el legítimo dueño de mi marca PabloYglesias…
La notificación es la real (es Google quien nos la envía), aunque en otras ocasiones se puede tratar de una campaña de fraude para robarte el acceso a la cuenta, así que siempre hay que asegurarse previamente siguiendo los 3 puntos que nos permiten identificar un correo legítimo de un fraude.
Pero, como decía, en este caso el email es real.
¿El problema?
Por qué es tan efectivo el ataque
Pues que, primero de todo, lo envían el 1 de enero de madrugada, es decir, en unos días donde muy seguramente la amplia mayoría de negocios no están operativos.
En mi caso fue el 1 de enero, pero vaya, bien pueden hacerlo aprovechando cualquier puente. A fin de cuentas, hablamos de negocios físicos, por lo que para un cibercriminal es muy fácil saber cuándo ese negocio potencialmente no estará operativo (saben la dirección, y por tanto, saben qué fiestas les corresponden a sus trabajadores).
Además, y esto sí es un problema del propio diseño del email por parte de Google, el texto no explica correctamente qué pasa si no respondes a la solicitud. De hecho, por cómo está redactado casi parece que solo deberías responder si en efecto es una petición legítima (un cambio de titular del negocio o el acceso a un trabajador que va a pasar a gestionarlo).
Unes estos dos puntos y tienes el caldo de cultivo para el desastre.
Google enviará durante unos pocos días más un recordatorio de petición de gestión de la cuenta. Pero es que si no acabas respondiendo… el ladrón pasará a ser el legítimo dueño de la misma.
Esto solo lo explican a partir del tercer email, y en un escueto párrafo al final de un email que, recordemos, has recibido previamente en dos ocasiones y parece ser exactamente el mismo, con el mismo asunto y hasta con exactamente el mismo contenido a excepción de ese párrafo final, que muy probablemente no llegues a verlo asumiendo que es otro recordatorio igual que los anteriores.
Si no respondes a la solicitud, tendrá la oportunidad de verificar su afiliación a la empresa. Si completa el proceso de verificación, se le concederá acceso de administrador. Esto le permitirá actualizar la información de empresa, contactar con los clientes y crear publicaciones, entre otras acciones.
Texto que pone Google a partir del tercer recordatorio
Así pues, el ataque no tendría éxito si el dueño, tras verificar que el correo es real y no un fake, le da a responder e informa de que no conoce de nada a esta persona.
Pero claro, al enviarlo el 1 de enero y haber empresas que no vuelven de vacaciones hasta el 8 de enero, y al no informar correctamente en los correos de qué pasa si no respondes, puede ocurrir que cuando la persona encargada vaya a responder, si es que ve el correo entre las decenas o cientos que tendrá pendientes, ya haya perdido el control de su negocio.
Y recalco que luego, recuperarlo, no es tan sencillo.
Más que nada porque, obviamente, ese tal Tavoun va a negar que conozca al legítimo dueño del negocio, teniendo luego nosotros que enviar una petición oficial a Google para demostrar que somos los legítimos dueños, y que nos han robado la cuenta.
Mientras tanto, esta persona podrá hacer lo que quiera con la ficha de negocio. Cambiarle el nombre, publicara nuestro nombre, contactar a los clientes que nos escriban por allí, responder reseñas, subir fotos, cerrar la cuenta… Lo que quiera.
A efectos de la plataforma, este es el administrador del negocio.
Qué podemos hacer para protegernos
Pues, principalmente, tres cosas:
- Asegurarnos primero de todo que el email de advertencia es el oficial: Ya sabes, hay que fijarse en quién emite el correo realmente (tiene que ser una dirección de @google.com, no de cualquier otro sitio), y debe redirigirnos a nuestra cuenta de GMB, no a cualquier otro lado. Además, si ya estuviéramos identificados en este navegador, directamente nos mostrará un formulario en el que debemos informar si conocemos o no a esta persona. Nada de meternos más datos personales.
- Tener activado el segundo factor de autenticación en nuestras cuentas: No solo para este ataque, sino en definitiva para la amplia mayoría de campañas de phishing que pueblan Internet. Gracias al doble factor de autenticación, aunque incluso cometiéramos el error de confiar en un email que es falso y diéramos por tanto nuestras credenciales de acceso como administradores del negocio, el cibercriminal no podrá acceder a nuestro cuenta, ya que como ya expliqué en numerosas ocasiones, necesitará además robarnos el teléfono móvil o hacernos un ataque de ingeniería social a nosotros para poder recibir ese código que Google o la plataforma que sea nos estará enviando vía SMS o mediante la app de tokens.
- Responder siempre a este tipo de correos: Más que nada porque, de no hacerlo, directamente le estaremos dando el control del negocio a un tercero. Este sistema a nuestra forma de entenderlo no es justo (debería ser al revés, que para obtener el acceso a un negocio fuera el administrador anterior quien debiera darlo, y no valiese solo con que no se pronunciase), pero por la casuística especial de este tipo de negocios, Google y muchas plataformas del estilo han optado por esta solución… que es menos segura, pero más cómoda para ellos.
Por último, si el mal ya está hecho y alguien ha conseguido robarte la cuenta, contacta con nosotros de inmediato para que valoremos cómo podemos ayudarte a recuperarla.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Servicio de asesoramiento a víctimas de fraude
Desde CyberBrainers ofrecemos un servicio de asesoramiento a víctimas de cualquier tipo de fraude cibernético.
Gracias a él, revisamos cada caso por separado, te explicamos qué opciones tienes, y te ofrecemos soporte en aquello que necesites (ayuda legal, asesoramiento técnico para evitar problemas futuros…).
Además, si hay posibilidad de recuperar el dinero robado, te ayudamos con la recuperación.
Si has sido víctima de alguno de estos timos, ponte en contacto con nosotros y revisaremos el caso.
Otros timos que deberías conocer
- 3 elementos que delatan a las campañas de phishing o fraude por email
- ¿Qué hacer en caso de haber sido víctima de un fraude?
- ¿Como recuperar el dinero robado?
- Cómo nos protegemos de los fraudes en Internet
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo funciona el timo de la extorsión a cambio de no divulgar supuesto contenido sexual o pornográfico
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funcionan los fraudes de descargar libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por un aviso de la DEHÚ
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan las estafas con criptomonedas de tipo Rug Pull
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
- Cómo saber si ese producto de Apple que estás comprando es verdadero o falso
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.