Una nueva campaña de phishing está encendiendo las alertas en el entorno corporativo, investigadores de Kaspersky identificaron una operación maliciosa que aprovecha notificaciones legítimas de Google Tasks para engañar a empleados y obtener sus credenciales sin levantar sospechas. A diferencia de los ataques tradicionales, en los que se falsifican dominios o se envían correos con errores evidentes, esta campaña utiliza el dominio oficial @google.com y el propio sistema de notificaciones de Google para eludir filtros de seguridad y aumentar la credibilidad del engaño.
En esta ofensiva, las víctimas reciben un mensaje con el asunto “You have a new task” (“Tienes una nueva tarea”), una notificación que aparenta ser parte del flujo normal de trabajo. El correo simula que la empresa del destinatario ha implementado Google Tasks como herramienta interna de gestión, generando una sensación de urgencia para revisar y completar la tarea asignada.
En muchos casos, el mensaje incluye indicadores de alta prioridad y plazos ajustados, una técnica clásica de ingeniería social diseñada para presionar al usuario a actuar sin verificar. Al hacer clic en el enlace incluido, la persona es redirigida a un formulario fraudulento que se presenta como una página de “verificación de empleado”. Bajo el pretexto de confirmar estatus laboral o validar información interna, se solicita ingresar credenciales corporativas.
Desde la perspectiva del usuario, el flujo parece coherente pues el correo proviene de un dominio legítimo y el diseño replica elementos habituales de herramientas colaborativas. Esa combinación reduce las señales de alerta.
El verdadero riesgo: más allá del robo de contraseñas
El robo de credenciales corporativas puede convertirse en la puerta de entrada a incidentes de gran escala. Una vez que los atacantes obtienen acceso a una cuenta de correo o a herramientas internas, pueden moverse lateralmente dentro de la red, escalar privilegios y permanecer sin ser detectados durante semanas.
Las consecuencias incluyen fraudes financieros, robo de propiedad intelectual, compromiso de cuentas con privilegios elevados y despliegue de ransomware. En el caso del fraude por compromiso de correo empresarial (Business Email Compromise, BEC), los delincuentes utilizan cuentas legítimas para solicitar transferencias o modificar instrucciones de pago, generando pérdidas millonarias.
De acuerdo con el Internet Crime Complaint Center (IC3) del FBI, el BEC ha generado pérdidas globales por más de 50 mil millones de dólares acumulados en los últimos años. Además, el informe Data Breach Investigations Report de Verizon señaló consistentemente que el phishing sigue siendo uno de los vectores de ataque inicial más comunes en brechas de datos a nivel mundial.
Diversos estudios de la industria estiman que más del 80% de los incidentes de seguridad en organizaciones comienzan con ingeniería social o el uso indebido de credenciales comprometidas.
Ingeniería social en plataformas legítimas
Para María Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky, el elemento más preocupante de esta campaña es la forma en que explota la confianza en servicios consolidados.
“Lo más preocupante de esta campaña es que no ‘suplanta’ a Google: se apalanca de sus notificaciones reales para colarse por la puerta grande. Al venir desde un dominio legítimo y a través de un flujo de notificaciones confiable, el mensaje puede evadir controles tradicionales del correo y, sobre todo, desactivar la desconfianza natural del usuario”, explica la especialista.
Manjarrez añade que el atacante no necesita desplegar malware sofisticado para generar un impacto inmediato. “Le basta con robar credenciales para tomar control de cuentas corporativas, acceder a correo y herramientas internas, escalar el ataque hacia fraude, robo de información o incluso preparar el terreno para incidentes mayores como ransomware. En otras palabras, es un recordatorio de que hoy el punto débil ya no es solo el ‘link’ malicioso, sino la confianza automática en plataformas legítimas cuando se usan como canal de ingeniería social”, asegura.
Más allá del incidente puntual, una sola cuenta vulnerada puede desencadenar una crisis mayor. Con acceso al correo corporativo, los atacantes pueden mapear la estructura organizacional, identificar procesos financieros y localizar información sensible.
Las empresas también enfrentan riesgos reputacionales, sanciones regulatorias y pérdidas económicas derivadas de la filtración de datos. En sectores regulados como el financiero, salud o telecomunicaciones, una brecha puede implicar multas significativas y la obligación de notificar públicamente a clientes y autoridades.
Además, el tiempo promedio para detectar y contener una intrusión puede superar los 200 días, según reportes globales de ciberseguridad. Este lapso otorga a los atacantes margen suficiente para consolidar su presencia dentro de la red.
Recomendaciones para mitigar el riesgo
Los especialistas recomiendan adoptar un enfoque de seguridad en capas. En primer lugar, es fundamental desconfiar incluso de notificaciones que provengan de dominios legítimos. Si se recibe una “nueva tarea” o solicitud inesperada, conviene confirmar con el equipo interno si se trata de un proceso real antes de interactuar con el enlace.
También es clave verificar cuidadosamente la URL antes de ingresar credenciales corporativas. Revisar que la dirección corresponda al portal oficial de la empresa puede marcar la diferencia entre un acceso legítimo y un fraude.
La activación de la verificación en dos pasos en todas las cuentas corporativas se ha convertido en una medida indispensable. Esta capa adicional de seguridad reduce significativamente el riesgo de accesos no autorizados incluso si la contraseña llega a filtrarse.
Finalmente, la implementación de soluciones especializadas para correo y entornos corporativos resulta determinante. Herramientas como Kaspersky Security for Mail Server y la línea Kaspersky Next permiten detectar intentos de phishing que utilizan dominios legítimos y monitorear comportamientos inusuales dentro de la red, facilitando una respuesta temprana antes de que el incidente escale.
