¿Confías en correos de google.com? Enhorabuena: eres la víctima perfecta.
La reputación intachable del remitente permite a los atacantes burlar cualquier defensa con facilidad.
Miles de organizaciones fueron víctimas de una amplia campaña de phishing en la que los atacantes usaron el dominio oficial de Google para enviar correos. Este ataque resultó especialmente peligroso porque los mensajes parecían muy verosímiles y no despertaban sospechas ni siquiera en los sistemas de protección.
Según Check Point, la campaña se basó en la función de envío automático de correos del servicio en la nube Google Cloud Application Integration. Con ella normalmente se envían notificaciones del sistema, informes o mensajes administrativos. Sin embargo, los delincuentes aprovecharon esta herramienta para distribuir correos falsos en nombre de la dirección «noreply-application-integration@google[.]com». En dos semanas llegaron a enviar casi 9.400 mensajes a más de 3.200 destinatarios.
Cada correo imitaba notificaciones internas: avisos de correo de voz, solicitudes de acceso a archivos y mensajes sobre cambios de permisos. Los primeros clics en los enlaces sí llevaban a la infraestructura legítima de Google, pero luego se producía una redirección imperceptible hacia recursos maliciosos. Ese tránsito en varias etapas reducía el grado de sospecha y permitía eludir los filtros automáticos.
En la cadena de redirecciones también se usaron dominios «googleusercontent[.]com», lo que añadía confianza entre los usuarios. En una de las páginas intermedias se colocó una comprobación CAPTCHA para burlar los escáneres y los antibots. El punto final era un sitio camuflado como la página de inicio de sesión de Microsoft, donde se solicitaban las credenciales de la víctima.
Google confirmó la existencia de estos ataques y señaló que la infraestructura de la compañía no fue vulnerada: se trató de un abuso de una función legítima de automatización. Parte de las campañas ya fue bloqueada y la empresa implementó medidas de protección adicionales, pero advirtió que en el futuro pueden producirse intentos similares de engaño que utilicen marcas conocidas.
Los especialistas subrayan que este enfoque rompe los principios tradicionales de filtrado de correos. La presencia del dominio real del remitente, una infraestructura correcta e incluso un formato oficial ya no garantizan seguridad: el phishing ahora puede disfrazarse de tráfico completamente legítimo.
Las huellas digitales son tu debilidad, y los hackers lo saben