Una campaña de phishing ha comprometido 30,000 cuentas de Facebook al explotar Google AppSheet. Los atacantes crearon aplicaciones sin código que simulaban ser legítimas, engañando a usuarios para que otorgaran permisos peligrosos. Mediante correos y notificaciones falsas de Facebook, las víctimas accedían a enlaces que robaban credenciales y tomaban control de sus perfiles, exponiendo datos sensibles.
El abuso de plataformas no-code como vector de ataque 🛡️
Google AppSheet permite crear apps sin programar, pero su uso legítimo fue distorsionado. Los atacantes diseñaron interfaces que imitaban a Facebook, solicitando permisos de OAuth para acceder a perfiles, mensajes y tokens de sesión. Al ser apps alojadas en la infraestructura de Google, eludían filtros de seguridad básicos. El robo de credenciales se ejecutaba en segundo plano, mientras la víctima creía interactuar con una página oficial.
Ya ni regalando apps sin código se salvan del phishing 😅
Resulta que ni con herramientas para crear apps sin saber código te libras de los estafadores. Ahora los timadores también usan no-code para parecer más modernos y profesionales. 30,000 personas cayeron en la trampa porque la app falsa tenía el sello de Google, como si eso fuera garantía de pureza. El phishing evolucionó: ya no es solo un príncipe nigeriano, ahora es una app que promete facilitarte la vida mientras te vacía el perfil.