Una nueva y sofisticada campaña de phishing ha encendido las alarmas entre los usuarios de Gmail. De acuerdo con un reporte de BleepingComputer, los atacantes han encontrado la forma de burlar los mecanismos de seguridad de Google para distribuir correos electrónicos fraudulentos que aparentan ser legítimos, con el objetivo de robar credenciales de inicio de sesión.
La estafa se aprovecha de una vulnerabilidad en el sistema OAuth de Google para enviar mensajes que parecen provenir de la dirección oficial [email protected]. Estos correos simulan una notificación legítima de Google, con una supuesta alerta sobre una citación judicial relacionada con contenido en la cuenta del usuario.
El mensaje solicita al destinatario ingresar a una página web que imita el sitio de soporte de Google. Sin embargo, se trata de una página falsa creada en Google Sites, diseñada para capturar correos electrónicos y contraseñas. Una vez que la víctima introduce sus datos, los atacantes obtienen acceso completo a su cuenta de Gmail, pudiendo cambiar la contraseña y robar su contenido.
¿Cómo lograron engañar a Google?
El ataque se apoya en una técnica particularmente astuta. Los hackers registraron una cuenta de correo con formato me@ejemplo y crearon una aplicación de Google OAuth con un nombre engañoso. Al vincular esta app a una cuenta de Google Workspace, el sistema generó una advertencia de seguridad legítima… pero manipulada, la cual luego fue reenviada masivamente a posibles víctimas.
Lo más alarmante es que este correo aparece firmado y validado por Google mediante el protocolo DKIM (DomainKeys Identified Mail), lo que le da apariencia de autenticidad ante los filtros de seguridad. Aunque el cuerpo del mensaje tiene un formato inusual —con enlaces en texto plano— su legitimidad aparente ha bastado para engañar a usuarios desprevenidos.
¿Qué puedes hacer para protegerte?
- Desconfía de correos que pidan iniciar sesión desde sitios poco familiares.
- Nunca ingreses tu contraseña si la URL no comienza con «https://accounts.google.com».
- Activa la verificación en dos pasos en tu cuenta para añadir una capa extra de seguridad.
- Evita copiar y pegar enlaces desde correos electrónicos que generen desconfianza, aunque parezcan oficiales.
Google ya trabaja en una solución para cerrar esta vulnerabilidad en su sistema OAuth. Mientras tanto, se recomienda extremar precauciones, ya que no solo Gmail ha sido blanco de esta técnica, sino también servicios como PayPal, que ha sufrido ataques similares recientemente.
En tiempos donde los ataques de ingeniería social se perfeccionan, revisar la dirección del remitente ya no basta para protegerse. La clave está en mantenerse informado, alerta y actuar con precaución antes de hacer clic.