Una nueva campaña de phishing encendió las alertas de expertos en ciberseguridad en distintos países. De acuerdo con un reporte de la empresa Check Point Research alertó sobre una campaña de correos maliciosos que suplanta a Google Cloud y pone en riesgo a miles de usuarios y empresas a nivel global.
La investigación reveló el envío de 9.394 mensajes fraudulentos dirigidos a cerca de 3.200 organizaciones, con una particularidad preocupante: los correos se originaron desde una dirección legítima de Google (noreply-application-integration@google.com) vinculada a la integración de aplicaciones, lo que aumentó la credibilidad del engaño y la probabilidad de robo de credenciales.
El aprovechamiento de la infraestructura oficial de Google permitió a los ciberdelincuentes evadir con mayor efectividad los sistemas de detección y lograr que los correos fraudulentos ingresaran sin obstáculos a las bandejas de entrada. Al provenir de un entorno confiable, los mensajes superaron los filtros de seguridad tradicionales y aumentaron su alcance entre usuarios y organizaciones.
La peligrosidad de esta campaña radica en el alto nivel de imitación de las comunicaciones corporativas de Google. Los correos replican con precisión el diseño, el tono y la redacción de notificaciones legítimas, utilizando como gancho avisos de buzón de voz, accesos a documentos compartidos o solicitudes de permisos, alertas habituales dentro de los flujos de trabajo automatizados en entornos empresariales.
¿Cómo funciona la estafa?
El impacto de esta campaña se explica por un esquema de ataque en varias fases, diseñado con precisión para generar confianza en la víctima, desviar su atención y sortear los sistemas de seguridad convencionales. Cada etapa cumple una función específica dentro de una estrategia que combina ingeniería social y el uso de plataformas legítimas.
En una primera instancia, el destinatario recibe un correo con apariencia auténtica que lo invita a interactuar con un enlace. Al hacer clic, es dirigido a una dirección real alojada en storage.cloud.google.com, un servicio genuino de Google Cloud. Esta elección reduce las alertas automáticas y refuerza la percepción de que se trata de una comunicación confiable.
Posteriormente, el usuario es redirigido a un dominio googleusercontent.com, donde se le presenta una verificación CAPTCHA falsa. Este paso actúa como una barrera frente a herramientas automatizadas de análisis de enlaces y soluciones de seguridad, permitiendo que solo los usuarios reales continúen con el proceso.
Finalmente, tras superar la supuesta validación, la víctima accede a una página que simula un inicio de sesión de Microsoft, alojada en un dominio externo a la empresa. Allí, solicitan las credenciales de acceso, que son capturadas de inmediato por los atacantes. La combinación de redirecciones encadenadas, infraestructuras legítimas y suplantación de marcas reconocidas incrementa la efectividad del fraude y retrasa su detección.