«Hola, equipo de seguridad de Google. Hemos detectado un inicio de sesión sospechoso en su Gmail. Confirme que fue usted». Voz sin acento, saludo característico, y en el identificador de llamada — identificador Google Sydney. En la pantalla — un SMS reciente con la petición de aprobar la recuperación de acceso. Todo parece tan verosímil que dan ganas de pulsar «Sí, soy yo». Precisamente a ese reflejo apelan los estafadores: un nuevo esquema combina síntesis de voz basada en inteligencia artificial, suplantación de números y servidores legítimos de Google para enviar los mensajes. El resultado: control total del correo y de todos los servicios vinculados. Analicemos el mecanismo con detalle y veamos cómo protegerse.
Cómo comienza el ataque: un falso «restablecimiento de acceso»
El escenario casi siempre arranca con una notificación push o un SMS «Confirme la solicitud de restablecimiento de contraseña». El mensaje lo genera automáticamente el propio Google: el atacante simplemente completa el formulario «¿Has olvidado la contraseña?» e indica su correo electrónico. El usuario ve una ventana sistémica real y se pregunta: ¿quién intenta entrar?
Algunos cierran la ventana y siguen con lo suyo. Sin embargo, pasados 30–60 minutos llega una llamada. En el caso del consultor de Microsoft Sam Mitrovic, que alertó sobre el problema el año pasado y compartió la información públicamente, el número se identificó como la oficina australiana de Google, cosa que se confirma en las páginas oficiales de soporte — el primer gancho de confianza.
Vishing con IA: una voz que casi no se puede distinguir
Por teléfono suena un operador cortés con un acento «corporativo americano». De fondo — un zumbido amortiguado del centro de llamadas e incluso el sonido de un teclado. Mientras usted piensa qué decir, el «empleado» precisa:
«Vemos que no está viajando. Entonces, alguien más solicita el restablecimiento desde EE. UU. Estamos listos para ayudar a bloquear al atacante, pero necesitamos confirmar algunos datos».
El secreto de la voz fotorrealista es la síntesis neuronal de voz. El algoritmo se ajusta a las pausas del interlocutor: si el usuario guarda silencio mucho tiempo, el bot inserta un cortés «¿sí?», simula respiración, cambia la entonación. Precisamente el ritmo perfectamente uniforme y la ausencia de titubeos acabaron delatando al impostor ante Mitrovic: una locución impecable y «estéril» suena sospechosa — como un actor leyendo un guion.
Suplantación del identificador de llamada: por qué el teléfono muestra «Google»
Cuando la llamada pasa por una red VoIP, en su paquete SIP hay un campo From — una cadena donde el iniciador puede poner cualquier número y nombre de abonado. Mientras el número recorre la cadena de operadores, nadie verifica ese identificador, por eso en su pantalla aparece exactamente lo que se escribió en el paquete: el estafador se hace pasar sin dificultad por «Google Sydney». Contra la suplantación debería actuar el estándar STIR/SHAKEN: el operador saliente firma criptográficamente el Caller ID, y la parte receptora comprueba la firma y marca el número como «confiable» o «sospechoso». Pero STIR/SHAKEN es obligatorio solo en EE. UU. y no está implantado en todas partes, así que las llamadas internacionales siguen sin verificación — y el spoofing sigue siendo efectivo.
Correos falsos que pasan DKIM y DMARC
Mientras el «operador» mantiene a la víctima en la línea, promete enviar una confirmación por correo electrónico — «por seguridad». En un par de segundos en Gmail aparece realmente un mensaje de no-reply@google.com, y las comprobaciones estándar DKIM y DMARC muestran un «PASS» en verde. El secreto es simple: los atacantes envían mensajes a través de un servicio de correo en la nube (Salesforce Marketing Cloud y similares). Un cliente de ese servicio puede poner cualquier dirección en el campo From, y el propio mensaje se envía a través de la infraestructura de Google Workspace, que ya está autorizada por Google. Por eso las firmas digitales coinciden y el correo parece legítimo. La única pista está oculta en las cabeceras: en el campo Return-Path figura un dominio técnico de Salesforce, pero la mayoría de usuarios nunca revisan eso.
Último paso — obtener el código de un solo uso
Para «asegurar el bloqueo», el operador pide dictar los dígitos que llegarán por SMS. En realidad el bot inicia una solicitud de restablecimiento repetida, y los dígitos son su código de verificación de seis cifras de Google. Al facilitarlo, permite al atacante restablecer la contraseña, configurar su propio factor de doble verificación y expulsarlo de su correo al instante.
Por qué el esquema es tan peligroso
1. Ataque de tres canales. SMS, llamada y correo crean el «efecto de presencia» de Google en todas las pantallas a la vez.
2. Actúa durante semanas. Los estafadores repiten el ciclo para que usted se acostumbre a ver «inicios sospechosos» — así se atenua la alerta.
3. La IA da escala. Un operador gestiona decenas de bots: la voz se sintetiza al vuelo y el guion se adapta a las respuestas de la víctima.
Cómo detectar el engaño en 30 segundos
Pregunte: «¿Cuál es mi correo electrónico de respaldo?» El soporte real de Google no ve esa dirección completa: en la interfaz se muestra parcialmente oculta.
Vea «Mostrar original» en el mensaje. En Gmail revise la línea Return-Path. El dominio debe pertenecer a google.com.
Compruebe «Seguridad → Actividad reciente». Si no hay intentos de acceso ajenos — la llamada es falsa.
Evalúe la «naturalidad» del habla. Una voz perfectamente uniforme y «estéril», sin titubeos, es motivo de alarma.
Métodos técnicos para protegerse
• Cambie la autenticación de dos factores a una clave física. Una clave FIDO2 no se puede transferir por teléfono y el bot no conseguirá nada.
• Active Google Passkey. En lugar de un código se usa un par criptográfico almacenado en el Secure Enclave del smartphone.
• Active el programa Advanced Protection. Google exigirá una clave física y limitará las solicitudes a APIs de terceros — recomendado para periodistas y políticos.
• Pregunte al operador por el soporte STIR/SHAKEN. Si está habilitado, la suplantación de número se hace evidente.
Qué deben hacer las empresas
Si usan correo de Google, configuren un DMARC p=reject estricto, prohíban a los servicios SaaS cambiar el campo From: sin verificación y exijan a los empleados de Google Workspace inicio de sesión solo con claves de seguridad. La regla principal de la formación: «El soporte nunca solicita códigos».
Conclusión: una ilusión perfecta exige vigilancia perfecta
Los estafadores han combinado la vieja ingeniería social con las nuevas capacidades de la IA: bot de voz, suplantación de números y envíos desde SaaS. El resultado es un engaño casi cinematográfico, donde cada detalle trabaja a favor de la confianza. Las tecnologías de defensa también avanzan, pero el filtro principal sigue entre el teclado y la silla. Mantenga el escepticismo, haga preguntas incómodas — y hasta el bot más convincente sabrá que no ha elegido a la víctima adecuada.
