Una nueva campaña de phishing está aprovechando notificaciones legítimas de Google Tasks para engañar a empleados y robar credenciales corporativas. Investigadores de Kaspersky identificaron que los atacantes están utilizando el dominio oficial @google.com y el sistema de notificaciones de Google para eludir los filtros tradicionales del correo electrónico y aumentar la credibilidad del engaño.
Cómo funciona el engaño
En esta campaña, las víctimas reciben un mensaje aparentemente auténtico con el asunto “You have a new task” (“Tienes una nueva tarea”). La notificación simula que la empresa del destinatario ha implementado Google Tasks como herramienta interna de gestión, generando presión para actuar con rapidez. En muchos casos, el mensaje incluye indicadores de alta prioridad y plazos ajustados para inducir una reacción inmediata.
Al hacer clic en el enlace incluido en la notificación, el usuario es redirigido a un formulario fraudulento que se presenta como una página de “verificación de empleado”. Bajo el pretexto de confirmar su estatus laboral o validar información interna, se le solicita ingresar sus credenciales corporativas.
Riesgos para las organizaciones
Las consecuencias pueden ser críticas. El robo de credenciales corporativas no solo permite el acceso no autorizado a correos electrónicos y sistemas internos, sino que puede convertirse en la puerta de entrada para fraudes financieros, robo de propiedad intelectual, ransomware o compromisos de cuentas con privilegios elevados.
En muchos casos, una sola cuenta vulnerada es suficiente para moverse lateralmente dentro de la red, escalar privilegios y permanecer sin ser detectado durante semanas. Además del impacto operativo, las empresas enfrentan riesgos reputacionales, sanciones regulatorias y pérdidas económicas derivadas de la filtración de datos sensibles.
“Lo más preocupante de esta campaña es que no ‘suplanta’ a Google: se apalanca de sus notificaciones reales para colarse por la puerta grande. Al venir desde un dominio legítimo y a través de un flujo de notificaciones confiable, el mensaje puede evadir controles tradicionales del correo y, sobre todo, desactivar la desconfianza natural del usuario. El atacante no necesita malware para causar daño inmediato: le basta con robar credenciales para tomar control de cuentas corporativas, acceder a correo y herramientas internas, escalar el ataque hacia fraude (por ejemplo, BEC), robo de información o incluso preparar el terreno para incidentes mayores como ransomware. En otras palabras, es un recordatorio de que hoy el punto débil ya no es solo el ‘link’ malicioso, sino la confianza automática en plataformas legítimas cuando se usan como canal de ingeniería social”, aseguró María Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky.
Recomendaciones para evitar caer en la trampa
Para reducir el riesgo frente a este tipo de campañas, los expertos recomiendan:
-
Desconfiar incluso de notificaciones que provengan de dominios legítimos: si recibe una “nueva tarea” o solicitud inesperada, confirme primero con su equipo si se trata de un proceso real.
-
Verificar cuidadosamente los enlaces antes de ingresar información: revise la dirección del sitio web y asegúrese de que corresponde al portal oficial de su empresa.
-
Activar la verificación en dos pasos en todas las cuentas corporativas: esta capa adicional ayuda a proteger las cuentas incluso si la contraseña se filtra.
-
Implementar soluciones de seguridad especializadas para correo y entornos corporativos, capaces de detectar intentos de phishing incluso cuando utilizan dominios legítimos y de identificar comportamientos sospechosos dentro de la red.
La campaña vuelve a poner en evidencia que el eslabón más vulnerable ya no es únicamente el enlace malicioso, sino la confianza automática en plataformas legítimas cuando son utilizadas como vehículo de ingeniería social.
Leer más
- Chile Data Centers amplía su base de asociados y consolida su rol como articulador de la infraestructura digital
- Asociación Chile Data Centers confirma la llegada de su nueva gerente general
- Chile Data Centers suma ocho nuevos socios y fortalece la expansión multisectorial del ecosistema digital
