Hackers se disfrazan de Google

Ataque de phishing usa la infraestructura de Google y engaña a millones con un correo falso que parece legítimo

Por Félix Riaño @LocutorCo

Un ataque de phishing altamente sofisticado está poniendo en riesgo la información personal de 3.000 millones de usuarios de Gmail.

Google ha confirmado un ataque de phishing tan convincente que logró pasar todas sus verificaciones de seguridad, engañando incluso a usuarios expertos. El correo fraudulento simula una alerta oficial sobre una citación judicial y dirige a los usuarios a un portal falso alojado en sites.google.com. La trampa: capturar credenciales y robar el acceso a las cuentas. ¿Cómo es posible que incluso los expertos estén cayendo en este engaño?

El mensaje parece legítimo… hasta en los detalles más técnicos

Nick Johnson, desarrollador y experto en Ethereum, recibió un correo que parecía oficial. Decía que Google había recibido una citación judicial para acceder a su cuenta. El remitente: no-reply@accounts.google.com. Todo parecía normal, incluso el dominio tenía sello de verificación DKIM, una firma digital que certifica la autenticidad del correo. Hasta aquí, todo encajaba. Pero al hacer clic, lo llevó a un sitio clonado, una copia perfecta de la página de inicio de sesión de Google. Todo alojado en sites.google.com, parte de la infraestructura legítima de Google. Así, los delincuentes cibernéticos lograron sortear todas las defensas automáticas del sistema.

Este ataque no fue obra de aficionados. Usaron un kit de phishing comprado en foros clandestinos, por menos de 25 dólares. Estos kits permiten crear páginas falsas, copiar sitios web reales y enviar correos con apariencia creíble. Lo más grave: pasaron los filtros de autenticación de Google, incluyendo DKIM, SPF y DMARC. Además, el mensaje se ubicó en la misma conversación de otras alertas reales de seguridad. Por eso, incluso usuarios expertos como Johnson y otros desarrolladores fueron engañados. Si no tienes activada la autenticación en dos pasos o no usas passkeys, tus datos pueden quedar expuestos.

Google reconoció la falla y aseguró que ya está desplegando protecciones para cerrar esta puerta de entrada. Además, recomendó a todos los usuarios activar la autenticación multifactor o, mejor aún, usar passkeys. Estas llaves de acceso están vinculadas a un dispositivo físico, por lo que no pueden ser robadas con solo un correo falso. En caso de que un hacker cambie tu contraseña y los métodos de recuperación, Google da un plazo de siete días para intentar recuperar la cuenta con el número o correo de recuperación antiguos, siempre que ya estuvieran registrados.

Las técnicas de suplantación avanzaron tanto que incluso Troy Hunt, creador del sitio Have I Been Pwned, fue víctima de un correo similar. Este ataque demuestra cómo los ciberdelincuentes aprovechan subdominios legítimos como sites.google.com y vulnerabilidades antiguas que permiten ejecutar scripts y embebidos en páginas aparentemente confiables. Según NordVPN, más de 85.000 URLs falsas imitaron a Google en 2024. El negocio detrás del phishing también creció: los atacantes compran kits completos que incluyen plantillas de correos, páginas falsas y bases de datos de contactos, todo listo para ejecutar.

Evita hacer clic en enlaces de correos sospechosos. Abre siempre las páginas desde el navegador y revisa bien el dominio.

Flash Diario en Spotify

📰 Bibliografía📰

• <a href="https://nypost.com/2025/04/21/tech/gmail-users-warned-of-sophisticated-phishing-attack/" target="_blank" rel="noreferrer…