{"id":178786,"date":"2025-12-23T13:21:11","date_gmt":"2025-12-23T16:21:11","guid":{"rendered":"https:\/\/nuevoitsitio1.wpenginepowered.com\/co\/sin-categoria\/alerta-de-phishing-atacantes-usaron-correos-legitimos-de-google-cloud-para-robar-credenciales\/"},"modified":"2025-12-23T13:21:11","modified_gmt":"2025-12-23T16:21:11","slug":"alerta-de-phishing-atacantes-usaron-correos-legitimos-de-google-cloud-para-robar-credenciales","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/co\/seguridad\/alerta-de-phishing-atacantes-usaron-correos-legitimos-de-google-cloud-para-robar-credenciales\/","title":{"rendered":"Alerta de phishing: atacantes usaron correos leg\u00edtimos de Google Cloud para robar credenciales"},"content":{"rendered":"<p data-start=\\\"285\\\" data-end=\\\"599\\\">Un informe reciente de <strong data-start=\\\"308\\\" data-end=\\\"349\\\"><span class=\\\"hover:entity-accent entity-underline inline cursor-pointer align-baseline\\\"><span class=\\\"whitespace-normal\\\">Check Point Research<\/span><\/span><\/strong> revel\u00f3 una sofisticada campa\u00f1a de <strong data-start=\\\"384\\\" data-end=\\\"396\\\">phishing<\/strong> que logr\u00f3 un nivel de credibilidad inusual: los atacantes enviaron correos electr\u00f3nicos maliciosos desde una <strong data-start=\\\"506\\\" data-end=\\\"538\\\">direcci\u00f3n leg\u00edtima de Google<\/strong>, aprovechando funciones reales de automatizaci\u00f3n en la nube.<\/p>\n<p data-start=\\\"601\\\" data-end=\\\"797\\\">La campa\u00f1a expuso una nueva superficie de ataque: el <strong data-start=\\\"654\\\" data-end=\\\"694\\\">uso indebido de herramientas v\u00e1lidas<\/strong> de proveedores confiables para evadir filtros de seguridad tradicionales y enga\u00f1ar a usuarios finales.<\/p>\n<h2 data-start=\\\"799\\\" data-end=\\\"865\\\"><span style=\\\"color: #000080\\\">Correos de phishing enviados desde la infraestructura de Google<\/span><\/h2>\n<p data-start=\\\"867\\\" data-end=\\\"1253\\\">Seg\u00fan el informe, los atacantes distribuyeron <strong data-start=\\\"913\\\" data-end=\\\"955\\\">9.394 correos electr\u00f3nicos de phishing<\/strong> dirigidos a unos <strong data-start=\\\"973\\\" data-end=\\\"991\\\">3.200 clientes<\/strong> en un per\u00edodo de 14 d\u00edas. Todos los mensajes proven\u00edan de la direcci\u00f3n oficial <code data-start=\\\"1071\\\" data-end=\\\"1115\\\">noreply-application-integration@google.com<\/code>, asociada a <strong data-start=\\\"1128\\\" data-end=\\\"1169\\\"><span class=\\\"hover:entity-accent entity-underline inline cursor-pointer align-baseline\\\"><span class=\\\"whitespace-normal\\\">Google<\/span><\/span><\/strong>, lo que increment\u00f3 significativamente la tasa de llegada a las bandejas de entrada.<\/p>\n<p data-start=\\\"1255\\\" data-end=\\\"1491\\\">Los correos imitaban <strong data-start=\\\"1276\\\" data-end=\\\"1319\\\">notificaciones empresariales rutinarias<\/strong>, como alertas de correo de voz o solicitudes de acceso a documentos, formatos comunes en entornos corporativos y, por lo tanto, dif\u00edciles de distinguir de mensajes reales.<\/p>\n<h2 data-start=\\\"1493\\\" data-end=\\\"1551\\\"><span style=\\\"color: #000080\\\">El m\u00e9todo de ataque: abuso de automatizaci\u00f3n en la nube<\/span><\/h2>\n<p data-start=\\\"1553\\\" data-end=\\\"1767\\\">La investigaci\u00f3n indica que la campa\u00f1a explot\u00f3 la tarea <strong data-start=\\\"1609\\\" data-end=\\\"1640\\\">\u201cEnviar correo electr\u00f3nico\u201d<\/strong> de Google Cloud Application Integration, una funci\u00f3n dise\u00f1ada para flujos de trabajo automatizados y notificaciones leg\u00edtimas.<\/p>\n<p data-start=\\\"1769\\\" data-end=\\\"1964\\\">Este enfoque permiti\u00f3 a los atacantes <strong data-start=\\\"1807\\\" data-end=\\\"1897\\\">enviar mensajes desde dominios confiables sin comprometer la infraestructura de Google<\/strong>, eludiendo controles basados en reputaci\u00f3n de dominio o remitente.<\/p>\n<p data-start=\\\"1966\\\" data-end=\\\"2136\\\">El resultado fue una suplantaci\u00f3n altamente efectiva de comunicaciones aut\u00e9nticas, apoyada en lenguaje, formato y estructura id\u00e9nticos a los mensajes oficiales de Google.<\/p>\n<h2 data-start=\\\"2138\\\" data-end=\\\"2183\\\"><span style=\\\"color: #000080\\\">Redirecci\u00f3n en capas para evadir detecci\u00f3n<\/span><\/h2>\n<p data-start=\\\"2185\\\" data-end=\\\"2318\\\">La campa\u00f1a incorpor\u00f3 un <strong data-start=\\\"2209\\\" data-end=\\\"2253\\\">flujo de redirecci\u00f3n de m\u00faltiples etapas<\/strong>, pensado para reducir sospechas y evitar an\u00e1lisis automatizados.<\/p>\n<h3 data-start=\\\"2320\\\" data-end=\\\"2365\\\"><span style=\\\"color: #000080\\\">Clic inicial desde un dominio confiable<\/span><\/h3>\n<p data-start=\\\"2366\\\" data-end=\\\"2543\\\">El primer enlace llevaba a <code data-start=\\\"2393\\\" data-end=\\\"2419\\\">storage.cloud.google.com<\/code>, un servicio leg\u00edtimo de Google Cloud, lo que reforzaba la confianza del usuario y disminu\u00eda las probabilidades de bloqueo.<\/p>\n<h3 data-start=\\\"2545\\\" data-end=\\\"2579\\\"><span style=\\\"color: #000080\\\">Validaci\u00f3n con CAPTCHA falso<\/span><\/h3>\n<p data-start=\\\"2580\\\" data-end=\\\"2791\\\">Luego, el usuario era redirigido a contenido alojado en <code data-start=\\\"2636\\\" data-end=\\\"2659\\\">googleusercontent.com<\/code>, donde se mostraba un CAPTCHA fraudulento o verificaci\u00f3n visual. Este paso buscaba <strong data-start=\\\"2743\\\" data-end=\\\"2790\\\">bloquear esc\u00e1neres autom\u00e1ticos de seguridad<\/strong>.<\/p>\n<h3 data-start=\\\"2793\\\" data-end=\\\"2831\\\"><span style=\\\"color: #000080\\\">P\u00e1gina falsa de inicio de sesi\u00f3n<\/span><\/h3>\n<p data-start=\\\"2832\\\" data-end=\\\"3061\\\">Finalmente, la v\u00edctima llegaba a una <strong data-start=\\\"2869\\\" data-end=\\\"2946\\\">p\u00e1gina falsa de inicio de sesi\u00f3n de <span class=\\\"hover:entity-accent entity-underline inline cursor-pointer align-baseline\\\"><span class=\\\"whitespace-normal\\\">Microsoft<\/span><\/span><\/strong>, alojada en un dominio externo. All\u00ed, los atacantes capturaban las credenciales ingresadas, completando el ataque.<\/p>\n<p data-start=\\\"3063\\\" data-end=\\\"3197\\\">Este esquema combin\u00f3 infraestructura confiable, interacci\u00f3n humana y suplantaci\u00f3n de marca para maximizar la efectividad del phishing.<\/p>\n<h2 data-start=\\\"3199\\\" data-end=\\\"3235\\\"><span style=\\\"color: #000080\\\">Sectores y regiones m\u00e1s afectados<\/span><\/h2>\n<p data-start=\\\"3237\\\" data-end=\\\"3396\\\">El an\u00e1lisis de los \u00faltimos 14 d\u00edas mostr\u00f3 un impacto concentrado en sectores que utilizan intensivamente notificaciones automatizadas y documentos compartidos.<\/p>\n<p data-start=\\\"3398\\\" data-end=\\\"3439\\\"><strong data-start=\\\"3398\\\" data-end=\\\"3412\\\">Por sector<\/strong>, los m\u00e1s afectados fueron:<\/p>\n<ul data-start=\\\"3440\\\" data-end=\\\"3611\\\">\n<li data-start=\\\"3440\\\" data-end=\\\"3473\\\">\n<p data-start=\\\"3442\\\" data-end=\\\"3473\\\">Manufactura e industria (19,6%)<\/p>\n<\/li>\n<li data-start=\\\"3474\\\" data-end=\\\"3501\\\">\n<p data-start=\\\"3476\\\" data-end=\\\"3501\\\">Tecnolog\u00eda y SaaS (18,9%)<\/p>\n<\/li>\n<li data-start=\\\"3502\\\" data-end=\\\"3537\\\">\n<p data-start=\\\"3504\\\" data-end=\\\"3537\\\">Finanzas, banca y seguros (14,8%)<\/p>\n<\/li>\n<li data-start=\\\"3538\\\" data-end=\\\"3585\\\">\n<p data-start=\\\"3540\\\" data-end=\\\"3585\\\">Servicios profesionales y consultor\u00eda (10,7%)<\/p>\n<\/li>\n<li data-start=\\\"3586\\\" data-end=\\\"3611\\\">\n<p data-start=\\\"3588\\\" data-end=\\\"3611\\\">Retail y consumo (9,1%)<\/p>\n<\/li>\n<\/ul>\n<p data-start=\\\"3613\\\" data-end=\\\"3888\\\"><strong data-start=\\\"3613\\\" data-end=\\\"3627\\\">Por regi\u00f3n<\/strong>, casi la mitad de los casos se registraron en Estados Unidos (48,6%), seguidos por Asia-Pac\u00edfico (20,7%) y Europa (19,8%). En <strong data-start=\\\"3754\\\" data-end=\\\"3771\\\">Latinoam\u00e9rica<\/strong>, el impacto se concentr\u00f3 en Brasil (41%) y M\u00e9xico (26%), con Argentina representando el 13% de los casos regionales.<\/p>\n<h2 data-start=\\\"3890\\\" data-end=\\\"3937\\\"><span style=\\\"color: #000080\\\">La respuesta de Google y el mensaje de fondo<\/span><\/h2>\n<p data-start=\\\"3939\\\" data-end=\\\"4176\\\">Desde Google se\u00f1alaron que <strong data-start=\\\"3966\\\" data-end=\\\"3996\\\">bloquearon varias campa\u00f1as<\/strong> asociadas al uso indebido de esta funcionalidad y aclararon que no se trat\u00f3 de una vulneraci\u00f3n de su infraestructura, sino del abuso de una herramienta de automatizaci\u00f3n leg\u00edtima.<\/p>\n<p data-start=\\\"4178\\\" data-end=\\\"4365\\\">La compa\u00f1\u00eda recomend\u00f3 <strong data-start=\\\"4200\\\" data-end=\\\"4273\\\">mantener la cautela incluso frente a correos aparentemente confiables<\/strong>, y asegur\u00f3 que est\u00e1 implementando medidas adicionales para prevenir futuros usos indebidos.<\/p>\n<h2 data-start=\\\"4367\\\" data-end=\\\"4416\\\"><span style=\\\"color: #000080\\\">Un nuevo desaf\u00edo para la seguridad corporativa<\/span><\/h2>\n<p data-start=\\\"4418\\\" data-end=\\\"4620\\\">Esta campa\u00f1a pone en evidencia un cambio relevante en las t\u00e1cticas de phishing: <strong data-start=\\\"4498\\\" data-end=\\\"4561\\\">ya no siempre es necesario falsificar dominios o remitentes<\/strong>, sino explotar funciones reales de plataformas en la nube.<\/p>\n<p data-start=\\\"4622\\\" data-end=\\\"4862\\\" data-is-last-node=\\\"\\\" data-is-only-node=\\\"\\\">El caso refuerza la necesidad de <strong data-start=\\\"4655\\\" data-end=\\\"4758\\\">vigilancia continua, concientizaci\u00f3n de usuarios y controles de seguridad basados en comportamiento<\/strong>, especialmente cuando los correos incluyen enlaces clicables y provienen de infraestructuras leg\u00edtimas.<\/p>\n<h3><span style=\\\"color: #000080\\\">Leer m\u00e1s<\/span><\/h3>\n<ul>\n<li><strong><a href=\\\"https:\/\/www.itsitio.com\/co\/distribucion\/microsoft-ninja-security-tour-seguridad-como-negocio-rentable-para-el-canal\/\\\">Microsoft Ninja Security Tour: seguridad como negocio rentable para el canal<\/a><\/strong><\/li>\n<li><strong><a href=\\\"https:\/\/www.itsitio.com\/co\/distribucion\/match18-de-mps-innovacion-tecnologica-y-networking-para-el-canal\/\\\">Match18 de MPS, innovaci\u00f3n tecnol\u00f3gica y networking para el canal<\/a><\/strong><\/li>\n<li><strong><a href=\\\"https:\/\/www.itsitio.com\/co\/distribucion\/schneider-electric-eficiencia\/\\\">C\u00f3mo Schneider Electric lidera la eficiencia energ\u00e9tica en la era de la sostenibilidad<\/a><\/strong><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Un informe reciente de Check Point Research revel&oacute; una sofisticada campa&ntilde;a de phishing que logr&oacute; un nivel de credibilidad inusual: los atacantes enviaron correos electr&oacute;nicos maliciosos desde una direcci&oacute;n leg&iacute;tima de Google, aprovechando funciones reales de automatizaci&oacute;n en la nube. La campa&ntilde;a expuso una nueva superficie de ataque: el uso indebido de herramientas v&aacute;lidas de proveedores confiables para evadir filtros de seguridad tradicionales y enga&ntilde;ar a usuarios finales. Correos de phishing enviados desde la infraestructura de Google Seg&uacute;n el informe, los atacantes distribuyeron 9.394 correos electr&oacute;nicos de phishing dirigidos a unos 3.200 clientes en un per&iacute;odo de 14 d&iacute;as. Todos los mensajes proven&iacute;an de la direcci&oacute;n oficial noreply-application-integration@google.com, asociada a Google, lo que increment&oacute; significativamente la tasa de llegada a las bandejas de entrada. Los correos imitaban notificaciones empresariales rutinarias, como alertas de correo de voz o solicitudes de acceso a documentos, formatos comunes en entornos corporativos y, por lo tanto, dif&iacute;ciles de distinguir de mensajes reales. El m&eacute;todo de ataque: abuso de automatizaci&oacute;n en la nube La investigaci&oacute;n indica que la campa&ntilde;a explot&oacute; la tarea &ldquo;Enviar correo electr&oacute;nico&rdquo; de Google Cloud Application Integration, una funci&oacute;n dise&ntilde;ada para flujos de trabajo automatizados y notificaciones leg&iacute;timas. Este enfoque permiti&oacute; a los atacantes enviar mensajes desde dominios confiables sin comprometer la infraestructura de Google, eludiendo controles basados en reputaci&oacute;n de dominio o remitente. El resultado fue una suplantaci&oacute;n altamente efectiva de comunicaciones aut&eacute;nticas, apoyada en lenguaje, formato y estructura id&eacute;nticos a los mensajes oficiales de Google. Redirecci&oacute;n en capas para evadir detecci&oacute;n La campa&ntilde;a incorpor&oacute; un flujo de redirecci&oacute;n de m&uacute;ltiples etapas, pensado para reducir sospechas y evitar an&aacute;lisis automatizados. Clic inicial desde un dominio confiable El primer enlace llevaba a storage.cloud.google.com, un servicio leg&iacute;timo de Google Cloud, lo que reforzaba la confianza del usuario y disminu&iacute;a las probabilidades de bloqueo. Validaci&oacute;n con CAPTCHA falso Luego, el usuario era redirigido a contenido alojado en googleusercontent.com, donde se mostraba un CAPTCHA fraudulento o verificaci&oacute;n visual. Este paso buscaba bloquear esc&aacute;neres autom&aacute;ticos de seguridad. P&aacute;gina falsa de inicio de sesi&oacute;n Finalmente, la v&iacute;ctima llegaba a una p&aacute;gina falsa de inicio de sesi&oacute;n de Microsoft, alojada en un dominio externo. All&iacute;, los atacantes capturaban las credenciales ingresadas, completando el ataque. Este esquema combin&oacute; infraestructura confiable, interacci&oacute;n humana y suplantaci&oacute;n de marca para maximizar la efectividad del phishing. Sectores y regiones m&aacute;s afectados El an&aacute;lisis de los &uacute;ltimos 14 d&iacute;as mostr&oacute; un impacto concentrado en sectores que utilizan intensivamente notificaciones automatizadas y documentos compartidos. Por sector, los m&aacute;s afectados fueron: Manufactura e industria (19,6%) Tecnolog&iacute;a y SaaS (18,9%) Finanzas, banca y seguros (14,8%) Servicios profesionales y consultor&iacute;a (10,7%) Retail y consumo (9,1%) Por regi&oacute;n, casi la mitad de los casos se registraron en Estados Unidos (48,6%), seguidos por Asia-Pac&iacute;fico (20,7%) y Europa (19,8%). En Latinoam&eacute;rica, el impacto se concentr&oacute; en Brasil (41%) y M&eacute;xico (26%), con Argentina representando el 13% de los casos regionales. La respuesta de Google y el mensaje de fondo Desde Google se&ntilde;alaron que bloquearon varias campa&ntilde;as asociadas al uso indebido de esta funcionalidad y aclararon que no se trat&oacute; de una vulneraci&oacute;n de su infraestructura, sino del abuso de una herramienta de automatizaci&oacute;n leg&iacute;tima. La compa&ntilde;&iacute;a recomend&oacute; mantener la cautela incluso frente a correos aparentemente confiables, y asegur&oacute; que est&aacute; implementando medidas adicionales para prevenir futuros usos indebidos. Un nuevo desaf&iacute;o para la seguridad corporativa Esta campa&ntilde;a pone en evidencia un cambio relevante en las t&aacute;cticas de phishing: ya no siempre es necesario falsificar dominios o remitentes, sino explotar funciones reales de plataformas en la nube. El caso refuerza la necesidad de vigilancia continua, concientizaci&oacute;n de usuarios y controles de seguridad basados en comportamiento, especialmente cuando los correos incluyen enlaces clicables y provienen de infraestructuras leg&iacute;timas. Leer m&aacute;s Microsoft Ninja Security Tour: seguridad como negocio rentable para el canal Match18 de MPS, innovaci&oacute;n tecnol&oacute;gica y networking para el canal C&oacute;mo Schneider Electric lidera la eficiencia energ&eacute;tica en la era de la sostenibilidad<\/p>\n","protected":false},"author":229,"featured_media":174719,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[20],"tags":[285],"class_list":["post-178786","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-google-cloud"],"_links":{"self":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts\/178786","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/users\/229"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/comments?post=178786"}],"version-history":[{"count":0,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts\/178786\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/media\/174719"}],"wp:attachment":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/media?parent=178786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/categories?post=178786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/tags?post=178786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}