Este correo se hace pasar por Google Cloud pero es una estafa: cómo evitarlo

Un informe de Check Point Research dio a conocer los detalles de una campaña de phishing a través de correo electrónico que busca hacerse pasar por los servicios de Google Cloud, logrando que miles de usuarios y organizaciones se conviertan en víctimas potenciales de robo de credenciales.

La compañía de ciberseguridad detectó 9.394 correos electrónicos de phishing enviados a cerca de 3.200 organizaciones en todo el mundo. Estos mensajes no provenían de direcciones falsas o poco confiables, sino de la cuenta legítima noreply-application-integration@google.com, una dirección asociada a la integración de aplicaciones de Google Cloud.

El uso de la infraestructura oficial de Google permitió a los atacantes eludir con mayor facilidad los filtros de seguridad y aumentar las probabilidades de que los mensajes llegaran directamente a las bandejas de entrada de los usuarios.

Lo que hace especialmente peligrosa esta campaña es que los correos electrónicos imitan con notable precisión el estilo, formato y lenguaje de las notificaciones empresariales habituales de Google.

Entre los señuelos más comunes se encuentran alertas de buzón de voz, avisos sobre acceso a documentos compartidos o solicitudes de permisos, mensajes que cualquier empleado en un entorno corporativo podría esperar recibir como parte de los flujos de trabajo automatizados diarios.

Cómo funciona este ataque a través de correo electrónico

El éxito de la campaña radica en un flujo de ataque de varias etapas cuidadosamente diseñado para generar confianza, manipular la atención de la víctima y evadir mecanismos de detección tradicionales. El proceso se desarrolla de la siguiente manera:

1. Clic inicial: el usuario recibe un correo cuya apariencia resulta confiable y, al hacer clic en el enlace proporcionado, es dirigido a una URL legítima alojada en storage.cloud.google.com. El uso de un servicio real de Google Cloud en esta primera fase refuerza la sensación de autenticidad y reduce la posibilidad de bloqueo por parte de los filtros automáticos.
2. Validación con CAPTCHA falso: una vez en el enlace, el usuario es redirigido a googleusercontent.com, donde se le presenta una verificación CAPTCHA simulada. Este paso tiene como objetivo bloquear los escáneres automatizados y las soluciones de seguridad que analizan enlaces sospechosos, permitiendo así que solo los humanos avancen en el proceso.
3. Captura de credenciales: tras superar la falsa validación, la víctima es llevada a una página de inicio de sesión de Microsoft falsificada, alojada en un dominio ajeno a la compañía. Allí, los ciberdelincuentes esperan que el usuario introduzca su nombre de usuario y contraseña, información que es capturada de inmediato para su posterior explotación.

Esta cadena de redirecciones, sumada al uso de infraestructuras legítimas y la suplantación de marcas reconocidas, permite a los atacantes aumentar la tasa de éxito y retrasar la detección de la campaña.

Qué buscan los ciberdelincuentes con este ataque

El fin último de estos ataques es obtener credenciales válidas de acceso, especialmente de servicios corporativos y cuentas con permisos elevados. Una vez en posesión de esa información, los ciberdelincuentes pueden acceder a datos confidenciales, lanzar ataques internos, robar información sensible o incluso comprometer infraestructuras completas.

De acuerdo con los datos analizados, los sectores más afectados incluyen manufactura e industria (19,6%), tecnología y SaaS (18,9%) y finanzas, banca y seguros (14,8%). También se han detectado campañas dirigidas a consultoras, minoristas, medios de comunicación, educación, salud, energía, sector público, viajes y logística.

En todos estos ámbitos, el uso de plataformas colaborativas y notificaciones automatizadas es habitual, lo que hace que el engaño resulte especialmente convincente.

En cuanto a la distribución geográfica, la mayor parte de las organizaciones afectadas se concentran en Estados Unidos (48,6%), seguidas de Asia-Pacífico (20,7%) y Europa (19,8%). Latinoamérica representa el 3% de los casos, con Brasil y México como países más impactados dentro de la región. También se han detectado incidencias en Canadá, Oriente Medio y África.

Cómo protegerse ante este tipo de ataques

El abuso de funciones legítimas de servicios en la nube representa un desafío creciente, ya que los filtros tradicionales suelen confiar en los dominios y direcciones oficiales. Entre las principales recomendaciones destacan:

• Verificar siempre el contexto y la urgencia de las notificaciones antes de hacer clic en enlaces o proporcionar datos personales.
• Desconfiar de cualquier mensaje que solicite credenciales, incluso si proviene de un remitente que parece legítimo.
• Implementar soluciones de seguridad avanzadas capaces de analizar el comportamiento de los enlaces y las cadenas de redirección.
• Reforzar la formación y la concienciación de los empleados sobre las nuevas técnicas de phishing basadas en servicios cloud.

A pesar de que Google y otras plataformas ya han bloqueado la campaña específica analizada, es posible que puedan aparecer variantes similares en el futuro, aprovechando otras herramientas de automatización o servicios en la nube.

Para minimizar los riesgos, resulta fundamental mantener todos los sistemas y aplicaciones actualizados, utilizar contraseñas robustas y únicas, y activar mecanismos de autenticación multifactor siempre que sea posible.