Login Probar gratis
Phishing a través de Google Drive y Docs: archivos compartidos como trampa

Phishing a través de Google Drive y Docs: archivos compartidos como trampa

por MataSpam Phishing y Estafas

Los ataques de phishing a través de Google Drive y Google Docs explotan algo que casi nadie cuestiona: una notificación legítima de Google diciéndote que alguien ha compartido un archivo contigo. El correo es real, viene de los servidores de Google, pasa todos los filtros antispam… y ahí está la trampa. Los ciberdelincuentes usan archivos compartidos falsos con enlaces maliciosos incrustados dentro del documento para robarte las credenciales. Es una estafa en Google que lleva años funcionando porque se apoya en la confianza ciega que depositamos en las herramientas que usamos a diario.

Y lo peor: Google les manda la invitación por ti. Gratis. Sin levantar sospechas.

Cómo funciona el phishing con Google Drive y Google Docs

El atacante crea una cuenta de Google (o compromete una existente) y genera un documento en Google Docs, Sheets o Slides. Dentro del documento coloca un enlace que imita una página de login de Google, Microsoft 365, o cualquier servicio que le interese. Luego comparte ese documento con tu dirección de email.

Google, obediente, te envía una notificación desde drive-shares-dm-noreply@google.com. El correo es técnicamente legítimo: lo genera la infraestructura de Google. Tu filtro de spam lo deja pasar. Tu cerebro también.

Al abrir el documento, ves algo que parece oficial: un logo corporativo, un mensaje urgente ("Tu cuenta será suspendida", "Factura pendiente de revisión", "Documento confidencial de RRHH") y un botón o enlace. Al hacer clic, acabas en una web de phishing que replica el login de Google con una fidelidad inquietante.

Variantes habituales del phishing en Google Docs:

  • Documento con enlace: Un Google Doc con texto alarmista y un botón "Ver documento completo" que redirige a una página falsa.
  • Comentario mencionándote: El atacante te menciona con @ en un comentario del documento. Google te envía el comentario por email, con el enlace malicioso incluido en el propio correo.
  • Formulario de Google Forms: Un formulario que simula ser una verificación de identidad o encuesta corporativa, pidiendo credenciales directamente.
  • Archivo en Drive con nombre trampa: Un PDF o imagen con nombre tipo "Factura_Marzo_2026.pdf" que en realidad es un enlace disfrazado.

La técnica del comentario con mención es especialmente efectiva. Google incluye el texto del comentario en el email de notificación, así que la víctima ni siquiera necesita abrir el documento para ver el enlace malicioso en Google Docs. El phishing viaja dentro del propio correo de Google.

Por qué este ataque es tan difícil de detectar

La mayoría de filtros antiphishing analizan el remitente, los enlaces y la reputación del dominio. Cuando el correo viene de los servidores de Google, con cabeceras DKIM y SPF válidas, firmado y certificado, los filtros se rinden. Es como intentar detectar una carta bomba cuando la entrega el cartero de siempre, con su uniforme de siempre.

Estas son las razones técnicas por las que funciona:

  • Remitente legítimo: El email procede de *@google.com, con autenticación SPF, DKIM y DMARC válida.
  • Dominio de confianza: Los enlaces apuntan a docs.google.com o drive.google.com, dominios que están en la whitelist de prácticamente todos los filtros.
  • Sin adjuntos sospechosos: No hay ejecutables ni macros. Solo un enlace a un documento alojado en la nube de Google.
  • Ingeniería social refinada: Los documentos imitan comunicaciones corporativas con logos, firmas y lenguaje profesional.

Google ha implementado contramedidas (avisos al abrir documentos de remitentes desconocidos, límites de compartición masiva), pero los atacantes se adaptan rápido. En 2023, investigadores de Check Point documentaron campañas que usaban Google Looker Studio para generar gráficos con enlaces de phishing incrustados, otra capa más de legitimidad. Si ya te preocupa la seguridad de tus contraseñas, puedes comprobar la robustez de las que usas como primer paso defensivo.

Señales de alerta: cómo identificar un archivo compartido falso

Que el correo sea legítimo no significa que el contenido lo sea. Estas son las señales que delatan un archivo compartido falso en Google Drive:

  1. No conoces al remitente. ¿Alguien que nunca has visto te comparte un "documento urgente"? Sospecha.
  2. Urgencia artificial. "Tu cuenta se cerrará en 24 horas", "Acción requerida inmediatamente". El phishing siempre tiene prisa; los documentos reales, rara vez.
  3. El documento pide que hagas login. Si ya estás en tu sesión de Google y un documento te pide que vuelvas a introducir la contraseña, es phishing. Google no funciona así.
  4. Enlaces acortados o externos dentro del documento. Un Google Doc legítimo no suele contener enlaces a bit.ly/xxx ni a dominios extraños. Pasa el ratón por encima antes de hacer clic.
  5. El documento está casi vacío. Solo tiene un botón grande de "Ver documento" o "Descargar archivo". Los documentos reales tienen contenido real.
  6. Comentario con enlace de alguien desconocido. Si recibes una mención en un documento que nunca has visto, desconfía.

Un truco rápido: si recibes un archivo compartido sospechoso de Google, copia la URL del documento y pégala en VirusTotal. Si el enlace dentro del documento apunta a una web de phishing conocida, lo detectará.

Qué hacer si has picado

Has hecho clic, has metido tu contraseña en una página que parecía de Google y ahora tienes ese sudor frío. Respira. Actúa rápido y el daño puede ser mínimo. Si necesitas un protocolo más completo para gestionar este tipo de incidentes, tenemos una guía de respuesta a incidentes de ciberseguridad que te será útil.

  1. Cambia la contraseña de Google inmediatamente. Ve a myaccount.google.com/security desde un dispositivo que consideres limpio.
  2. Activa la verificación en dos pasos (2FA) si no la tenías. Usa una app de autenticación (Google Authenticator, Authy) o, mejor aún, una llave de seguridad física (YubiKey, Titan).
  3. Revisa los dispositivos conectados. En la misma página de seguridad de Google, sección "Tus dispositivos". Si ves algo que no reconoces, cierra esa sesión.
  4. Revisa los permisos de apps de terceros. Los atacantes a veces instalan apps OAuth maliciosas que mantienen acceso incluso después de cambiar la contraseña. Ve a myaccount.google.com/permissions y elimina lo que no reconozcas.
  5. Comprueba las reglas de reenvío de correo. En Gmail → Configuración → Reenvío. Si hay una dirección desconocida, elimínala. Es un truco clásico para seguir recibiendo tus emails tras el robo.
  6. Reporta el documento. Abre el archivo en Drive, haz clic en los tres puntos → "Reportar" o "Denunciar abuso". Google investiga y elimina documentos de phishing reportados.

Si usas la misma contraseña en otros servicios (no deberías, pero seamos realistas), cámbiala en todos ellos. Have I Been Pwned te permite comprobar si tu email aparece en filtraciones conocidas.

Cómo protegerte del phishing en Google Drive

La protección combina configuración técnica y hábitos. Ninguna de las dos funciona sola.

Configuración de la cuenta:

  • Activa el Programa de Protección Avanzada de Google si manejas información sensible. Requiere llaves de seguridad físicas y bloquea el acceso de apps de terceros no verificadas.
  • Configura alertas de seguridad en tu cuenta de Google para recibir notificaciones de inicios de sesión sospechosos.
  • En Google Workspace (entornos corporativos), los administradores pueden restringir la compartición externa de archivos y activar reglas DLP (Data Loss Prevention).

Hábitos que funcionan:

  • Nunca introduzcas credenciales desde un enlace dentro de un documento. Si necesitas hacer login, abre una pestaña nueva y ve directamente a accounts.google.com.
  • Verifica la URL antes de introducir cualquier dato. Un dominio tipo accounts.google.com.login-verify.xyz no es Google, por mucho que lo parezca.
  • Usa un gestor de contraseñas. Los gestores no autocompletan credenciales en dominios falsos, así que funcionan como detector de phishing involuntario.
  • Mantén el navegador actualizado. Chrome, Firefox y Edge incluyen listas de phishing conocido (Google Safe Browsing, SmartScreen) que bloquean páginas maliciosas.

Si gestionas infraestructura web, como las que puedes aprender a asegurar en el blog de diseño web de Piqture, aplica las mismas precauciones a las cuentas que gestionan tus dominios y servidores. Un enlace malicioso en Google Drive dirigido al admin de un hosting puede causar daños mucho mayores que el robo de una cuenta personal.

Preguntas frecuentes

¿Puede un archivo de Google Drive contener un virus?

Google escanea los archivos subidos a Drive en busca de malware, pero solo para archivos de menos de 100 MB. Además, el escaneo no detecta enlaces de phishing dentro de documentos de texto. El riesgo principal no es un virus clásico, sino la ingeniería social: que hagas clic en un enlace malicioso dentro del documento.

¿Google me avisa si un archivo compartido es sospechoso?

Sí, parcialmente. Google muestra un banner de advertencia cuando abres un documento compartido por alguien fuera de tu organización. Sin embargo, el aviso es genérico y fácil de ignorar. No analiza el contenido del documento ni detecta enlaces de phishing dentro de él.

¿Qué diferencia hay entre phishing por email y phishing por Google Docs?

El phishing tradicional por email envía un correo falso que imita a una empresa. El phishing por Google Docs usa la propia infraestructura de Google para entregar el mensaje, lo que lo hace mucho más difícil de filtrar. El email de notificación es auténtico; la trampa está dentro del documento.

¿Puedo denunciar un documento de phishing en Google Drive?

Sí. Abre el documento, pulsa en el menú de tres puntos (⋮) y selecciona "Reportar abuso" o "Report abuse". También puedes reportarlo desde Google Safe Browsing. Google suele actuar en horas, aunque las campañas masivas pueden tardar más en eliminarse.

¿La verificación en dos pasos me protege completamente?

Protege contra el uso de credenciales robadas, pero no es infalible. Existen kits de phishing como Evilginx que actúan como proxy inverso y capturan tanto la contraseña como el token 2FA en tiempo real. Las llaves de seguridad físicas (FIDO2/WebAuthn) son la única defensa efectiva contra este tipo de ataques, porque verifican el dominio criptográficamente.

El siguiente paso

Abre ahora mismo myaccount.google.com/permissions y revisa qué aplicaciones de terceros tienen acceso a tu cuenta de Google. Si ves alguna que no reconoces o que no has usado en meses, elimínala. Tarda menos de dos minutos y cierra una de las puertas que los atacantes usan después de un phishing en Google Drive exitoso. Si quieres ir un paso más allá, asegúrate de que tus copias de seguridad están configuradas para no perder nada si algún día te toca lidiar con las consecuencias.

phishing google drive phishing google docs archivo compartido falso estafa google enlace malicioso google
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Whaling: ataques de phishing dirigidos a altos directivos de empresas
Phishing y Estafas

Whaling: ataques de phishing dirigidos a altos directivos de empresas

Phishing que burla el 2FA: cómo los atacantes roban tus códigos de verificación
Phishing y Estafas

Phishing que burla el 2FA: cómo los atacantes roban tus códigos de verificación

Phishing de PayPal: protege tu cuenta de correos fraudulentos
Phishing y Estafas

Phishing de PayPal: protege tu cuenta de correos fraudulentos

← Volver al blog