{"id":179817,"date":"2026-07-15T12:30:33","date_gmt":"2026-07-15T15:30:33","guid":{"rendered":"https:\/\/www.itsitio.com\/ch\/?p=179817"},"modified":"2026-07-15T12:30:33","modified_gmt":"2026-07-15T15:30:33","slug":"una-nueva-tecnica-pone-en-riesgo-las-cuentas-corporativas-de-gmail-sin-necesidad-de-robar-contrasenas","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/ch\/seguridad\/una-nueva-tecnica-pone-en-riesgo-las-cuentas-corporativas-de-gmail-sin-necesidad-de-robar-contrasenas\/","title":{"rendered":"Una nueva t\u00e9cnica pone en riesgo las cuentas corporativas de Gmail sin necesidad de robar contrase\u00f1as"},"content":{"rendered":"<p class=\"PDq2pG_selectionAnchorContainer\" data-start=\"253\" data-end=\"699\">Expertos de Kaspersky identificaron una nueva t\u00e9cnica utilizada por el grupo APT ToddyCat para intentar acceder a <strong data-start=\"367\" data-end=\"462\">cuentas corporativas de Gmail sin necesidad de robar directamente la contrase\u00f1a del usuario<\/strong>. En lugar de eso, los atacantes aprovechan sesiones de Gmail que permanecen abiertas en el navegador para solicitar permisos sobre recursos de Google, como correos electr\u00f3nicos, archivos almacenados en la nube y contactos empresariales.<\/p>\n<p data-start=\"701\" data-end=\"1130\">El hallazgo forma parte de las investigaciones proactivas de Kaspersky sobre amenazas avanzadas. En esta campa\u00f1a, los atacantes apuntaron a comunicaciones corporativas alojadas en Gmail, con el objetivo de obtener acceso no autorizado a cuentas de correo mediante la API del servicio. Aunque el malware identificado fue dise\u00f1ado para afectar a usuarios de Windows, <strong data-start=\"1066\" data-end=\"1129\">la t\u00e9cnica podr\u00eda adaptarse potencialmente a otros sistemas<\/strong>.<\/p>\n<p data-start=\"1132\" data-end=\"1621\">La t\u00e9cnica fue denominada <strong data-start=\"1158\" data-end=\"1199\">Shadow Token via Remote Debug, o STRD<\/strong>, y afecta a navegadores basados en Chromium. En t\u00e9rminos simples, el ataque funciona porque muchos usuarios dejan su sesi\u00f3n de Gmail abierta en el navegador. Cuando esto ocurre, el navegador conserva una especie de \u201cllave digital\u201d que permite seguir usando la cuenta sin volver a escribir la contrase\u00f1a. ToddyCat aprovecha esa condici\u00f3n para intentar tomar control de esa sesi\u00f3n y solicitar acceso a informaci\u00f3n sensible.<\/p>\n<h2 data-section-id=\"1sq976t\" data-start=\"1623\" data-end=\"1677\"><span style=\"color: #000080\">C\u00f3mo funciona la nueva t\u00e9cnica para acceder a Gmail<\/span><\/h2>\n<p data-start=\"1679\" data-end=\"2007\">Para ejecutar el ataque, el grupo utiliz\u00f3 un malware llamado <strong data-start=\"1740\" data-end=\"1750\">Umbrij<\/strong>, capaz de abrir una conexi\u00f3n oculta a trav\u00e9s de una funci\u00f3n del navegador que normalmente usan los desarrolladores para hacer pruebas. Al hacerlo, los atacantes pueden enviar solicitudes a Gmail como si provinieran de una sesi\u00f3n ya autenticada del usuario.<\/p>\n<p data-start=\"2009\" data-end=\"2355\">Una vez dentro de ese flujo, el malware puede solicitar <strong data-start=\"2065\" data-end=\"2115\">permisos amplios sobre la cuenta de la v\u00edctima<\/strong>, incluido acceso al correo electr\u00f3nico, almacenamiento en la nube y contactos. Adem\u00e1s, puede aprobar autom\u00e1ticamente la ventana de consentimiento al hacer clic en \u201cPermitir\u201d, obteniendo as\u00ed el c\u00f3digo necesario para acceder a esos recursos.<\/p>\n<p data-start=\"2357\" data-end=\"3424\">\u201cEste hallazgo evidencia un cambio importante en la forma en que los atacantes buscan comprometer cuentas corporativas. Ya no se trata \u00fanicamente de robar contrase\u00f1as o enga\u00f1ar al usuario para que entregue sus credenciales, sino de aprovechar sesiones que ya est\u00e1n abiertas y mecanismos leg\u00edtimos del navegador para obtener acceso a informaci\u00f3n sensible. Esto representa un problema para las empresas porque el correo corporativo concentra conversaciones estrat\u00e9gicas, documentos, contactos y accesos a otros servicios internos. Cuando una cuenta de Gmail empresarial es comprometida, el impacto puede ir mucho m\u00e1s all\u00e1 del buz\u00f3n: puede convertirse en una puerta de entrada para espionaje, robo de informaci\u00f3n y nuevos ataques dentro de la organizaci\u00f3n. Por eso, las compa\u00f1\u00edas deben revisar qu\u00e9 funciones realmente necesitan sus usuarios, limitar aquellas que no son esenciales y fortalecer la visibilidad sobre comportamientos inusuales en sus entornos digitales\u201d, afirma <strong>Leandro Cuozzo<\/strong>, Investigador de seguridad para Am\u00e9rica Latina en el equipo GReAT de Kaspersky.<\/p>\n<p data-start=\"3426\" data-end=\"3734\">Para las empresas, el riesgo de esta nueva t\u00e9cnica es especialmente relevante porque <strong data-start=\"3511\" data-end=\"3614\">el correo electr\u00f3nico sigue siendo uno de los principales canales de comunicaci\u00f3n interna y externa<\/strong>, y una cuenta comprometida puede exponer conversaciones sensibles, documentos, contactos y otros recursos corporativos.<\/p>\n<p data-start=\"3736\" data-end=\"3948\">Anteriormente, investigadores de Kaspersky hab\u00edan detallado campa\u00f1as de ToddyCat orientadas al <strong data-start=\"3831\" data-end=\"3870\">robo de datos desde navegadores web<\/strong>, as\u00ed como desde servicios de correo electr\u00f3nico locales y basados en la nube.<\/p>\n<h2 data-section-id=\"19tyr2q\" data-start=\"3950\" data-end=\"3988\"><span style=\"color: #000080\">C\u00f3mo pueden protegerse las empresas<\/span><\/h2>\n<p data-start=\"3990\" data-end=\"4075\">Para que las empresas puedan estar protegidas, los expertos de Kaspersky recomiendan:<\/p>\n<ul data-start=\"4077\" data-end=\"5377\">\n<li data-section-id=\"1v7030t\" data-start=\"4077\" data-end=\"4405\"><strong data-start=\"4079\" data-end=\"4119\">Cerrar sesiones que no est\u00e9n en uso.<\/strong> Evitar dejar cuentas corporativas abiertas de forma permanente en navegadores, especialmente en dispositivos compartidos o de uso frecuente. Cerrar sesi\u00f3n y revisar peri\u00f3dicamente los accesos activos ayuda a reducir el riesgo de que una sesi\u00f3n autenticada sea aprovechada por terceros.<\/li>\n<li data-section-id=\"1v2gp1b\" data-start=\"4406\" data-end=\"4705\"><strong data-start=\"4408\" data-end=\"4457\">Limitar funciones innecesarias del navegador.<\/strong> Las empresas deben revisar qu\u00e9 usuarios realmente necesitan herramientas de desarrollador o funciones avanzadas en navegadores basados en Chromium. Si no son necesarias para su trabajo diario, deshabilitarlas puede reducir la superficie de ataque.<\/li>\n<li data-section-id=\"drypfp\" data-start=\"4706\" data-end=\"4990\"><strong data-start=\"4708\" data-end=\"4762\">Fortalecer la detecci\u00f3n y respuesta ante amenazas.<\/strong> Soluciones como Kaspersky Next permiten contar con protecci\u00f3n en tiempo real, mayor visibilidad sobre amenazas y capacidades de investigaci\u00f3n y respuesta, ayudando a identificar comportamientos sospechosos antes de que escalen.<\/li>\n<li data-section-id=\"y4d00r\" data-start=\"4991\" data-end=\"5377\"><strong data-start=\"4993\" data-end=\"5049\">Apoyarse en inteligencia y servicios especializados.<\/strong> Para organizaciones que requieren mayor capacidad de monitoreo o no cuentan con suficiente experiencia interna, servicios como Kaspersky Threat Intelligence, Managed Detection and Response, Compromise Assessment e Incident Response ayudan a detectar riesgos, responder a incidentes y reducir el impacto de posibles compromisos.<\/li>\n<\/ul>\n<h2 data-section-id=\"1vucon6\" data-start=\"5379\" data-end=\"5439\"><span style=\"color: #000080\">Un nuevo desaf\u00edo para la seguridad del correo corporativo<\/span><\/h2>\n<p data-start=\"5441\" data-end=\"5723\">La t\u00e9cnica identificada muestra c\u00f3mo los atacantes est\u00e1n buscando <strong data-start=\"5507\" data-end=\"5558\">alternativas al robo tradicional de contrase\u00f1as<\/strong>. Las sesiones activas y las funciones leg\u00edtimas de los navegadores pueden convertirse en nuevas superficies de ataque cuando un dispositivo ya ha sido comprometido.<\/p>\n<p data-start=\"5725\" data-end=\"6005\">En este escenario, <strong data-start=\"5744\" data-end=\"5821\">proteger una cuenta corporativa implica no solo reforzar las credenciales<\/strong>, sino tambi\u00e9n controlar las sesiones activas, limitar funciones innecesarias y detectar comportamientos an\u00f3malos dentro de los dispositivos y navegadores utilizados por los empleados.<\/p>\n<h3 data-section-id=\"fsc039\" data-start=\"6007\" data-end=\"6031\"><span style=\"color: #000080\">Preguntas frecuentes<\/span><\/h3>\n<p data-start=\"6033\" data-end=\"6222\"><strong data-start=\"6033\" data-end=\"6061\">\u00bfQu\u00e9 es la t\u00e9cnica STRD?<\/strong><br data-start=\"6061\" data-end=\"6064\" \/>Shadow Token via Remote Debug es una t\u00e9cnica que aprovecha sesiones activas en navegadores basados en Chromium para solicitar acceso a recursos de una cuenta.<\/p>\n<p data-start=\"6224\" data-end=\"6377\"><strong data-start=\"6224\" data-end=\"6277\">\u00bfEl ataque necesita robar la contrase\u00f1a de Gmail?<\/strong><br data-start=\"6277\" data-end=\"6280\" \/>No. La t\u00e9cnica intenta aprovechar <strong data-start=\"6314\" data-end=\"6376\">una sesi\u00f3n que ya se encuentra autenticada en el navegador<\/strong>.<\/p>\n<p data-start=\"6379\" data-end=\"6556\"><strong data-start=\"6379\" data-end=\"6422\">\u00bfQu\u00e9 informaci\u00f3n puede quedar expuesta?<\/strong><br data-start=\"6422\" data-end=\"6425\" \/>Correos electr\u00f3nicos, archivos almacenados en la nube, contactos empresariales y otros recursos vinculados a la cuenta corporativa.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El ataque aprovecha sesiones abiertas en navegadores Chromium. Leandro Cuozzo, investigador de Kaspersky, explica el riesgo para las empresas.<\/p>\n","protected":false},"author":229,"featured_media":179818,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[34],"tags":[450,144],"class_list":["post-179817","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-gmail","tag-kaspersky"],"_links":{"self":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts\/179817","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/users\/229"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/comments?post=179817"}],"version-history":[{"count":2,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts\/179817\/revisions"}],"predecessor-version":[{"id":179821,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts\/179817\/revisions\/179821"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/media\/179818"}],"wp:attachment":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/media?parent=179817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/categories?post=179817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/tags?post=179817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}