Alerta de phishing: atacantes usaron correos legítimos de Google Cloud para robar credenciales

El phishing, que imita sitios y comunicaciones de marcas legítimas, representa el 70% de los ataques digitales en Colombia y países vecinos.
El phishing, que imita sitios y comunicaciones de marcas legítimas, representa el 70% de los ataques digitales en Colombia y países vecinos.

Un informe reciente de Check Point Research reveló una sofisticada campaña de phishing que logró un nivel de credibilidad inusual: los atacantes enviaron correos electrónicos maliciosos desde una dirección legítima de Google, aprovechando funciones reales de automatización en la nube.

La campaña expuso una nueva superficie de ataque: el uso indebido de herramientas válidas de proveedores confiables para evadir filtros de seguridad tradicionales y engañar a usuarios finales.

Correos de phishing enviados desde la infraestructura de Google

Según el informe, los atacantes distribuyeron 9.394 correos electrónicos de phishing dirigidos a unos 3.200 clientes en un período de 14 días. Todos los mensajes provenían de la dirección oficial noreply-application-integration@google.com, asociada a Google, lo que incrementó significativamente la tasa de llegada a las bandejas de entrada.

Los correos imitaban notificaciones empresariales rutinarias, como alertas de correo de voz o solicitudes de acceso a documentos, formatos comunes en entornos corporativos y, por lo tanto, difíciles de distinguir de mensajes reales.

El método de ataque: abuso de automatización en la nube

La investigación indica que la campaña explotó la tarea “Enviar correo electrónico” de Google Cloud Application Integration, una función diseñada para flujos de trabajo automatizados y notificaciones legítimas.

Este enfoque permitió a los atacantes enviar mensajes desde dominios confiables sin comprometer la infraestructura de Google, eludiendo controles basados en reputación de dominio o remitente.

El resultado fue una suplantación altamente efectiva de comunicaciones auténticas, apoyada en lenguaje, formato y estructura idénticos a los mensajes oficiales de Google.

Redirección en capas para evadir detección

La campaña incorporó un flujo de redirección de múltiples etapas, pensado para reducir sospechas y evitar análisis automatizados.

Clic inicial desde un dominio confiable

El primer enlace llevaba a storage.cloud.google.com, un servicio legítimo de Google Cloud, lo que reforzaba la confianza del usuario y disminuía las probabilidades de bloqueo.

Validación con CAPTCHA falso

Luego, el usuario era redirigido a contenido alojado en googleusercontent.com, donde se mostraba un CAPTCHA fraudulento o verificación visual. Este paso buscaba bloquear escáneres automáticos de seguridad.

Página falsa de inicio de sesión

Finalmente, la víctima llegaba a una página falsa de inicio de sesión de Microsoft, alojada en un dominio externo. Allí, los atacantes capturaban las credenciales ingresadas, completando el ataque.

Este esquema combinó infraestructura confiable, interacción humana y suplantación de marca para maximizar la efectividad del phishing.

Sectores y regiones más afectados

El análisis de los últimos 14 días mostró un impacto concentrado en sectores que utilizan intensivamente notificaciones automatizadas y documentos compartidos.

Por sector, los más afectados fueron:

  • Manufactura e industria (19,6%)

  • Tecnología y SaaS (18,9%)

  • Finanzas, banca y seguros (14,8%)

  • Servicios profesionales y consultoría (10,7%)

  • Retail y consumo (9,1%)

Por región, casi la mitad de los casos se registraron en Estados Unidos (48,6%), seguidos por Asia-Pacífico (20,7%) y Europa (19,8%). En Latinoamérica, el impacto se concentró en Brasil (41%) y México (26%), con Argentina representando el 13% de los casos regionales.

La respuesta de Google y el mensaje de fondo

Desde Google señalaron que bloquearon varias campañas asociadas al uso indebido de esta funcionalidad y aclararon que no se trató de una vulneración de su infraestructura, sino del abuso de una herramienta de automatización legítima.

La compañía recomendó mantener la cautela incluso frente a correos aparentemente confiables, y aseguró que está implementando medidas adicionales para prevenir futuros usos indebidos.

Un nuevo desafío para la seguridad corporativa

Esta campaña pone en evidencia un cambio relevante en las tácticas de phishing: ya no siempre es necesario falsificar dominios o remitentes, sino explotar funciones reales de plataformas en la nube.

El caso refuerza la necesidad de vigilancia continua, concientización de usuarios y controles de seguridad basados en comportamiento, especialmente cuando los correos incluyen enlaces clicables y provienen de infraestructuras legítimas.

Leer más

Visitas: 313
Redacción de ITSitio

Redacción de ITSitio

Ver Publicaciones

Publicaciones Relacionadas

Suscríbete a nuestro newsletter
Suscríbete

Lo más leído de Seguridad

Publicaciones Relacionadas

Scroll to Top