La debilidad de las contraseñas de aplicaciones quedó expuesta tras una campaña dirigida a críticos del gobierno ruso.
La debilidad de las contraseñas de aplicaciones quedó expuesta tras una campaña dirigida a críticos del gobierno ruso.
Seguridad

Hackers rusos eluden la autenticación multifactor de Gmail para realizar ataques dirigidos

Un grupo de hackers con presuntos vínculos con el Estado ruso logró burlar la autenticación multifactor de Gmail mediante técnicas avanzadas de ingeniería social, aprovechando una función poco conocida de Google. El ataque, dirigido a críticos del Kremlin, expone una preocupante vulnerabilidad en los sistemas de seguridad digital más confiables.

Photo of Redacción de ITSitio Redacción de ITSitio Send an email julio 1, 2025
3 minutos de lectura

La autenticación multifactor (MFA), uno de los pilares de la ciberseguridad moderna, ha sido vulnerada en ataques dirigidos que afectaron a usuarios de Gmail. Según el Google Threat Intelligence Group (GTIG), piratas informáticos con vínculos con Rusia lograron evadir esta capa de seguridad a través de sofisticadas maniobras de ingeniería social, engañando a sus objetivos para que entregaran credenciales sensibles sin darse cuenta.

El mecanismo explotado por los atacantes gira en torno a las llamadas contraseñas de aplicaciones, una función poco conocida pero legítima dentro del ecosistema de Google. Estas contraseñas de 16 dígitos están diseñadas para permitir el acceso a cuentas de Google desde aplicaciones o dispositivos que no son compatibles con MFA, como algunos clientes de correo electrónico antiguos, cámaras conectadas o teléfonos obsoletos. El problema: estas contraseñas omiten completamente el segundo paso de verificación, convirtiéndose en una grieta en un sistema que, de otro modo, sería mucho más seguro.

Los atacantes no irrumpieron por la fuerza, sino con astucia. Según un informe paralelo de CitizenLab, los hackers se hicieron pasar por funcionarios del Departamento de Estado de los Estados Unidos. En uno de los casos documentados, el objetivo —un destacado académico crítico del gobierno ruso— fue contactado a través de una invitación aparentemente oficial para participar en una consulta privada. Aunque el mensaje fue enviado desde una cuenta de Gmail, este incluía otras cuatro direcciones de correo electrónico con el dominio @state.gov, creando la ilusión de una conversación monitoreada por funcionarios reales del gobierno estadounidense.

Publicaciones relacionadas

Los expertos creen que estas direcciones fueron falsificadas deliberadamente, aprovechando que el servidor de correo del Departamento de Estado no rebota mensajes enviados a direcciones inexistentes, lo que impide a los destinatarios detectar la falsificación.

Con el objetivo ya enganchado, los atacantes enviaron un documento supuestamente oficial, que instruía sobre cómo registrarse en una cuenta como “Inquilino invitado de MS DoS”. Este documento indicaba, entre otras cosas, la necesidad de generar una contraseña de aplicación para establecer una conexión segura entre el supuesto Departamento de Estado y el usuario. En realidad, este paso permitía a los atacantes ingresar a la cuenta de Google de la víctima sin enfrentar la barrera del segundo factor de autenticación.

Los atacantes convencieron a sus víctimas de generar contraseñas de aplicaciones, una vía alternativa de acceso que elude el segundo factor de autenticación de Google.
Los atacantes convencieron a sus víctimas de generar contraseñas de aplicaciones, una vía alternativa de acceso que elude el segundo factor de autenticación de Google.

Este método no es solo ingenioso, sino alarmante. La campaña, que se desarrolló durante varios meses, mostró tal nivel de detalle, persistencia y conocimientos técnicos que los investigadores sospechan que fue organizada por un grupo respaldado por el Estado ruso. El enfoque dirigido, el uso de documentación aparentemente oficial y la manipulación psicológica del objetivo hacen de esta operación un ejemplo claro del potencial destructivo de la ingeniería social en manos de actores sofisticados.

Qué se puede hacer para protegerse

Aunque el hallazgo expone una debilidad dentro de la estrategia de autenticación multifactor, los expertos insisten en que no se debe abandonar la MFA, sino fortalecerla.

Entre las recomendaciones clave para evitar caer en este tipo de trampas se encuentran:

  • Evitar el uso de contraseñas de aplicaciones, a menos que sea absolutamente necesario. Siempre que se pueda, es mejor usar aplicaciones o dispositivos que admitan métodos de inicio de sesión modernos y seguros.

  • Preferir métodos de MFA más robustos, como las aplicaciones de autenticación (Google Authenticator, Authy) o, mejor aún, claves de seguridad físicas basadas en los estándares FIDO2 o WebAuthn. Estos métodos ofrecen una barrera mucho más difícil de eludir que los códigos enviados por SMS.

  • Estar informado y capacitar a otros para identificar intentos de phishing. La mayoría de las veces, los atacantes no “rompen” las defensas tecnológicas, sino que manipulan a las personas para que las desactiven por ellos.

  • Monitorear actividades sospechosas, como intentos de inicio de sesión desde ubicaciones inusuales o dispositivos desconocidos. Las alertas de seguridad de Google pueden ayudar a detectar estos movimientos.

  • Mantener sistemas y aplicaciones actualizados. Las vulnerabilidades conocidas suelen ser explotadas rápidamente por los atacantes, por lo que activar las actualizaciones automáticas es una práctica esencial.

  • Utilizar herramientas de seguridad avanzadas, como software antiphishing o firewalls con capacidad para detectar y bloquear dominios maliciosos.

Este incidente demuestra que incluso los sistemas más seguros pueden ser eludidos cuando el eslabón humano es comprometido. En la era de la ciberseguridad, no alcanza con tener contraseñas fuertes o habilitar la autenticación multifactor. La conciencia, el escepticismo y la educación constante son tan importantes como cualquier herramienta técnica.

Mientras las organizaciones e individuos refuercen sus defensas tecnológicas, los atacantes seguirán explorando los puntos ciegos del comportamiento humano. Este caso es un claro llamado de atención: la seguridad no se delega, se practica todos los días.

Leer mas

Autor

Etiquetas
Photo of Redacción de ITSitio Redacción de ITSitio Send an email julio 1, 2025
3 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Redacción de ITSitio

Redacción de ITSitio

Publicaciones relacionadas

Esta muestra marca el inicio de una nueva generación de malware que apunta directamente a vulnerabilidades en sistemas de IA.

SparkKitty: cómo funciona el troyano espía que logró infiltrarse en App Store y Google Play

El ransomware avanza y pone en riesgo a empresas de todo el mundo.

SafePay irrumpe con fuerza en 2025 y expone fallas críticas

Qué es Xanthorox AI y por qué es la nueva amenaza más temida en ciberseguridad

Qué es Xanthorox AI y por qué es la nueva amenaza más temida en ciberseguridad

América Latina registró ataques a uno de cada cinco computadores ICS durante el primer trimestre de 2025, apenas por debajo del promedio global.

Kaspersky: Uno de cada cinco sistemas industriales en América Latina fue blanco de malware en 2025

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba