NUEVO¡Ahora puedes escuchar los artículos de Fox Information!
Los ciberdelincuentes han encontrado una nueva e inteligente forma de enviar correos electrónicos de phishing directamente a las bandejas de entrada.
En lugar de falsificar marcas, están abusando de herramientas reales en la nube en las que la gente ya confía. Los investigadores de seguridad dicen que los atacantes recientemente secuestraron una función de correo electrónico legítima dentro de Google Cloud.
El resultado fueron miles de mensajes de phishing que parecían notificaciones normales de Google. Muchos eludieron los filtros de spam con facilidad.
Regístrese para recibir mi informe CyberGuy GRATIS
Reciba mis mejores consejos técnicos, alertas de seguridad urgentes y ofertas exclusivas directamente en su bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía definitiva para sobrevivir a estafas: cuando te unas a mi CYBERGUY.COM hoja informativa.
Cómo funcionó este ataque de phishing de Google Cloud
En el centro de la campaña estaba la integración de aplicaciones en la nube de Google. Este servicio permite a las empresas enviar notificaciones automáticas por correo electrónico a partir de los flujos de trabajo que crean. Los atacantes explotaron la tarea Enviar correo electrónico dentro de ese sistema. Debido a que los mensajes provenían de una dirección actual de Google, parecían auténticos tanto para los usuarios como para las herramientas de seguridad.
Según Test Level, una empresa international de ciberseguridad que rastrea y analiza campañas de amenazas a gran escala, los correos electrónicos se enviaron desde una dirección legítima propiedad de Google y coincidían mucho con el estilo de notificación de Google. Las fuentes, la redacción y el diseño parecían familiares. Durante un período de dos semanas en diciembre de 2025, los atacantes enviaron más de 9000 correos electrónicos de phishing dirigidos a aproximadamente 3200 organizaciones en EE. UU., Europa, Canadá, Asia Pacífico y América Latina.
Los atacantes utilizaron la infraestructura confiable de Google Cloud para enrutar a las víctimas a través de múltiples redirecciones antes de revelar la estafa. (Thomas Fuller/SOPA Photographs/LightRocket vía Getty Photographs)
EXTENSIONES MALICIOSAS DE CHROME DETENIDAS ROBANDO DATOS CONFIDENCIALES
Por qué los correos electrónicos de phishing de Google fueron tan convincentes
Los mensajes parecían alertas rutinarias en el lugar de trabajo. Algunos afirmaron que había recibido un mensaje de voz. Otros dijeron que se le concedió acceso a un documento compartido, como un archivo This autumn. Esa sensación de normalidad redujo las sospechas. Mucha gente está acostumbrada a ver exactamente estos mensajes todos los días. Aún más preocupante es que los correos electrónicos eludieron protecciones comunes como SPF y DMARC porque se enviaron a través de una infraestructura propiedad de Google. Para los sistemas de correo electrónico, nada parecía falso.
¿Qué sucede después de hacer clic?
El ataque no se detuvo en el correo electrónico. Una vez que una víctima hacía clic en el enlace, period enviada a una página alojada en Storage.cloud.google.com. Eso añadió otra capa de confianza. Desde allí, el enlace redirigió nuevamente a googleusercontent.com. Luego vino un CAPTCHA falso o una verificación de imagen. Este paso bloqueó los escáneres de seguridad automatizados y permitió que los usuarios reales continuaran. Después de pasar esa pantalla, las víctimas llegaban a una página de inicio de sesión falsa de Microsoft alojada en un dominio que no period de Microsoft. Cualquier credencial ingresada allí fue capturada por los atacantes.
¿Quién fue el objetivo del ataque de phishing de Google Cloud?
Test Level cube que la campaña se centró en gran medida en industrias que dependen de alertas automatizadas y documentos compartidos. Eso incluía manufactura, tecnología, finanzas, servicios profesionales y venta minorista. También se atacaron otros sectores como la salud, la educación, el gobierno, la energía, los viajes y los medios de comunicación. Estos entornos ven constantes solicitudes de permiso y avisos de intercambio de archivos, lo que hacía que los señuelos parecieran rutinarios.
“Hemos bloqueado varias campañas de phishing que implican el uso indebido de una función de notificación por correo electrónico dentro de la integración de aplicaciones de Google Cloud”, dijo un portavoz de Google a Cyberguy. “Es importante destacar que esta actividad surgió del abuso de una herramienta de automatización del flujo de trabajo, no de un compromiso de la infraestructura de Google. Si bien hemos implementado protecciones para defender a los usuarios contra este ataque específico, alentamos a continuar con la precaución ya que los actores maliciosos frecuentemente intentan falsificar marcas confiables. Estamos tomando medidas adicionales para evitar un mayor uso indebido”.
El incidente demuestra cómo los atacantes pueden utilizar herramientas legítimas de automatización de la nube como arma sin recurrir a la suplantación de identidad tradicional.
Formas de mantenerse a salvo de correos electrónicos de phishing que parecen confiables
Los correos electrónicos de phishing son cada vez más difíciles de detectar, especialmente cuando los atacantes abusan de plataformas reales en la nube como Google Cloud. Estos pasos ayudan a reducir el riesgo cuando los correos electrónicos parecen familiares y legítimos.
1) Reduzca la velocidad antes de actuar según las alertas
Los atacantes dependen de la urgencia. Los mensajes sobre mensajes de voz, archivos compartidos o cambios de permisos están diseñados para que hagas clic rápidamente. Haga una pausa antes de actuar. Pregúntese si realmente esperaba esa alerta. Si no, verifícalo de otra manera.
2) Inspeccione los enlaces antes de hacer clic
Pase siempre el cursor sobre los enlaces para obtener una vista previa del dominio de destino. En esta campaña, los enlaces saltaron a varios dominios de Google que parecían confiables antes de aterrizar en una página de inicio de sesión falsa. Si el destino remaining no coincide con el servicio que le solicita iniciar sesión, cierre la página inmediatamente.
3) Trate los correos electrónicos de permiso y acceso a archivos con precaución
Las alertas de documentos compartidos son un atractivo favorito porque se sienten rutinarias en el trabajo. Si un correo electrónico afirma que se le concedió acceso a un archivo que no reconoce, no haga clic directamente desde el mensaje. En su lugar, abra su navegador e inicie sesión en Google Drive o OneDrive manualmente para buscar archivos nuevos.
El paso remaining llevaba a los usuarios a una página de inicio de sesión falsa de Microsoft, donde las credenciales ingresadas eran robadas silenciosamente. (Pila de redes sociales)
4) Utilice un administrador de contraseñas para detectar páginas de inicio de sesión falsas
Los administradores de contraseñas pueden ser una última línea de defensa sólida. No completarán automáticamente las credenciales en páginas de inicio de sesión falsas de Microsoft o Google alojadas en dominios no oficiales. Si su administrador de contraseñas se niega a completar un inicio de sesión, es una señal de alerta a la que vale la pena prestar atención.
A continuación, compruebe si su correo electrónico ha estado expuesto en infracciones anteriores. Nuestra selección de administrador de contraseñas número uno (consulte Cyberguy.com/Passwords) incluye un escáner de violaciones incorporado que verifica si su dirección de correo electrónico o sus contraseñas han aparecido en filtraciones conocidas. Si descubre una coincidencia, cambie inmediatamente las contraseñas reutilizadas y proteja esas cuentas con credenciales nuevas y únicas.
Consulte los mejores administradores de contraseñas revisados por expertos de 2025 en Cyberguy.com.
LA NUEVA IA DE GOOGLE HACE QUE LOS ROBOTS SEA MÁS INTELIGENTES SIN LA NUBE
5) Ejecute un potente software program antivirus con protección contra phishing
Las herramientas antivirus modernas hacen más que escanear archivos. Muchos ahora detectan enlaces maliciosos, páginas CAPTCHA falsas y sitios de recolección de credenciales en tiempo actual. Un software program antivirus potente puede bloquear páginas de phishing incluso después de un clic, lo cual es importante en ataques de varias etapas como este.
La mejor manera de protegerse de enlaces maliciosos que instalan malware y potencialmente acceden a su información privada es tener instalado un software program antivirus potente en todos sus dispositivos. Esta protección también puede alertarle sobre correos electrónicos de phishing y estafas de ransomware, manteniendo seguros su información private y sus activos digitales.
Obtenga mis selecciones para los mejores ganadores de protección antivirus de 2025 para sus dispositivos Home windows, Mac, Android e iOS en Cyberguy.com.
6) Reduzca su exposición con un servicio de eliminación de datos
Las campañas de phishing suelen tener éxito porque los atacantes ya conocen su correo electrónico, su empleador o su función. Esa información comúnmente se obtiene de sitios de intermediarios de datos. Un servicio de eliminación de datos ayuda a eliminar su información private de estas bases de datos, lo que dificulta que los atacantes puedan crear correos electrónicos convincentes y dirigidos.
Si bien ningún servicio puede garantizar la eliminación completa de sus datos de Web, un servicio de eliminación de datos es realmente una opción inteligente. No son baratos, y su privacidad tampoco. Estos servicios hacen todo el trabajo por usted al monitorear activamente y borrar sistemáticamente su información private de cientos de sitios internet. Es lo que me da tranquilidad y ha demostrado ser la forma más eficaz de borrar tus datos personales de Web. Al limitar la información disponible, se scale back el riesgo de que los estafadores crucen los datos de las filtraciones con información que puedan encontrar en la internet oscura, lo que les dificulta atacarlo.
Consulte mis mejores opciones para servicios de eliminación de datos y obtenga un escaneo gratuito para descubrir si su información private ya está disponible en la internet visitando Cyberguy.com.
Obtenga un escaneo gratuito para descubrir si su información private ya está disponible en la internet: Cyberguy.com.
7) Habilite la autenticación de dos factores (2FA) en todas partes
Incluso si los atacantes roban su contraseña, la autenticación de dos factores (2FA) puede impedirles acceder a su cuenta. Utilice autenticación basada en aplicaciones o claves de {hardware} cuando sea posible, especialmente para el correo electrónico del trabajo, el almacenamiento en la nube y las cuentas de Microsoft.
8) Informe los correos electrónicos sospechosos de inmediato
Si algo se siente mal, repórtelo. Marca alertas sospechosas de Google o Microsoft a tu equipo de TI o de seguridad para que puedan advertir a otros. La notificación temprana puede detener una campaña de phishing antes de que se propague más dentro de una organización.
Los correos electrónicos de phishing de Google parecían alertas rutinarias en el lugar de trabajo. (Kurt “CyberGuy” Knutsson)
Las conclusiones clave de Kurt
Esta campaña destaca un cambio creciente en las tácticas de phishing. Los atacantes ya no necesitan falsificar marcas cuando pueden abusar directamente de los servicios confiables en la nube. A medida que la automatización se vuelve más común, la concienciación sobre la seguridad es más importante que nunca. Incluso los correos electrónicos familiares merecen una segunda mirada, especialmente cuando insisten en la urgencia o solicitan credenciales.
HAGA CLIC AQUÍ PARA DESCARGAR LA APLICACIÓN FOX NEWS
Si un correo electrónico de phishing proviene de una dirección actual de Google, ¿qué tan seguro está de poder detectarlo antes de hacer clic? Háganos saber escribiéndonos a Cyberguy.com.
Regístrese para recibir mi informe CyberGuy GRATIS
Reciba mis mejores consejos técnicos, alertas de seguridad urgentes y ofertas exclusivas directamente en su bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía definitiva para sobrevivir a estafas, free of charge si te unes a mi CYBERGUY.COM hoja informativa.
Copyright 2025 CyberGuy.com. Reservados todos los derechos.
