Desde su lanzamiento en 2008, Google Forms se ha consolidado como una de las herramientas más utilizadas para la creación de encuestas y formularios en línea. Gratuita, accesible y con el respaldo de una de las grandes tecnológicas del mundo, la plataforma ha ganado una enorme cuota de mercado y se estima que domina cerca del 50% del sector a nivel global. Sin embargo, ese mismo éxito la ha convertido en objetivo preferente para los ciberdelincuentes, que han encontrado en ella un vehículo ideal para sus campañas de fraude y robo de información.
Expertos en ciberseguridad alertan de que las características que hacen de Google Forms una solución tan atractiva para los usuarios —su gratuidad, facilidad de uso y apariencia legítima— también son aprovechadas por los atacantes para generar contenido fraudulento que evade muchas medidas de protección convencionales. Según ESET, los ciberdelincuentes se sirven de formularios falsos que imitan páginas de bancos, universidades o redes sociales, con el objetivo de capturar credenciales, datos bancarios o incluso distribuir software malicioso.
“Estos ataques son un claro ejemplo de cómo los ciberdelincuentes aprovechan herramientas de confianza para reforzar la apariencia de legitimidad de sus campañas”, advierte Josep Albors, director de investigación y concienciación de ESET España. “La popularidad de un servicio no garantiza su seguridad. Es fundamental combinar prevención con soluciones de seguridad multicapa”.
Nuevas tácticas: del phishing clásico al vishing encubierto
El repertorio de técnicas maliciosas ha evolucionado más allá del tradicional phishing. Una de las modalidades que más preocupan en la actualidad es el llamado call back phishing, en el que el formulario simula una notificación de un cargo sospechoso, instando al usuario a llamar a un número de atención al cliente fraudulento. Detrás, un operador manipula a la víctima para extraer datos sensibles o realizar transferencias indebidas.
Una plataforma confiable, usada con fines maliciosos
Asimismo, ESET ha detectado un creciente abuso de la función de “cuestionarios” de Google Forms, mediante la cual se incluyen direcciones de correo de las víctimas en tests aparentemente inofensivos. Al publicar las calificaciones, se desencadenan mensajes personalizados con enlaces que redirigen a páginas falsas o descargan archivos maliciosos.
Casos reales y recomendaciones clave
Campañas como la conocida “BazarCall” han utilizado este tipo de formularios para suplantar la identidad de marcas populares como Netflix o PayPal, notificando falsos cobros para provocar reacciones impulsivas. También se han identificado ataques dirigidos a instituciones educativas, especialmente en Estados Unidos, con el objetivo de robar credenciales universitarias y datos financieros.
Frente a este panorama, ESET insiste en la necesidad de extremar la precaución y seguir buenas prácticas de ciberseguridad: usar contraseñas únicas y complejas, activar la autenticación multifactor, desconfiar de mensajes urgentes que lleguen por correo y, ante la más mínima sospecha, revisar las cuentas afectadas, cambiar contraseñas y contactar con las entidades bancarias.
Google, por su parte, incluye advertencias visibles en sus formularios —como el aviso de no introducir contraseñas—, pero los expertos coinciden en que la responsabilidad última recae en la educación del usuario.
