Digital
Crédito: El Mostrador.
Alerta por phishing: ciberdelincuentes usan notificaciones reales de Google para robar credenciales
Kaspersky detectó una campaña que explota Google Tasks y el dominio @google.com para evadir filtros de seguridad y engañar a empleados con mensajes que simulan procesos internos.
Una nueva campaña de phishing está utilizando notificaciones legítimas de Google para infiltrarse en empresas y sustraer credenciales corporativas sin levantar sospechas. La alerta fue emitida por la firma de ciberseguridad Kaspersky, cuyos investigadores identificaron el uso del dominio oficial @google.com y del sistema de avisos de Google Tasks como mecanismo para aumentar la credibilidad del fraude.
El hallazgo revela una modalidad que no recurre a la suplantación tradicional, sino que se apoya en plataformas reales para eludir controles y reforzar la confianza del destinatario.
Cómo opera la campaña
En este esquema, las víctimas reciben un correo con el asunto “You have a new task” (“Tienes una nueva tarea”). El mensaje aparenta ser una notificación auténtica de Google Tasks y sugiere que la empresa ha incorporado esta herramienta como sistema interno de gestión.
En varios casos, la comunicación incluye indicadores de alta prioridad y plazos breves, con el objetivo de generar presión y acelerar la respuesta del empleado.
Al hacer clic en el enlace, el usuario es dirigido a un formulario fraudulento que se presenta como una página de “verificación de empleado”. Bajo el argumento de confirmar el estatus laboral o validar información interna, se solicita ingresar credenciales corporativas.
Crédito: El Mostrador.
Riesgos para las organizaciones
El robo de credenciales puede tener consecuencias críticas. El acceso no autorizado a correos electrónicos y sistemas internos puede convertirse en el punto de partida para fraudes financieros, robo de propiedad intelectual, despliegue de ransomware o compromisos de cuentas con privilegios elevados.
En muchos casos, basta con vulnerar una sola cuenta para desplazarse lateralmente dentro de la red corporativa, escalar privilegios y permanecer sin detección durante semanas. A ello se suman riesgos reputacionales, posibles sanciones regulatorias y pérdidas económicas derivadas de filtraciones de datos sensibles.
María Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky, asegura que “lo más preocupante de esta campaña es que no ‘suplanta’ a Google: se apalanca de sus notificaciones reales para colarse por la puerta grande. Al venir desde un dominio legítimo y a través de un flujo de notificaciones confiable, el mensaje puede evadir controles tradicionales del correo y, sobre todo, desactivar la desconfianza natural del usuario”.
Recomendaciones para prevenir el fraude
Frente a este escenario, los expertos recomiendan desconfiar incluso de notificaciones que provengan de dominios legítimos. Ante una “nueva tarea” o solicitud inesperada, se aconseja confirmar primero con el equipo interno si se trata de un proceso real.
También se sugiere verificar cuidadosamente los enlaces antes de ingresar información, revisando que la dirección corresponda efectivamente al portal oficial de la empresa. En caso de dudas, la recomendación es no continuar.
Otra medida clave es activar la verificación en dos pasos en todas las cuentas corporativas, lo que añade una capa adicional de protección incluso si la contraseña resulta comprometida.
Finalmente, se plantea la necesidad de implementar soluciones de seguridad especializadas para correo y entornos corporativos, capaces de detectar intentos de phishing que utilicen dominios legítimos y de identificar accesos inusuales o comportamientos sospechosos dentro de la red antes de que el incidente escale.
