Alerta, nueva campaña de phishing usa notificaciones reales de Google para robar credenciales Infobae

Una sofisticada campaña de phishing está poniendo en alerta al sector tecnológico y corporativo, al aprovechar notificaciones legítimas de Google para engañar a empleados y robar credenciales de acceso.

De acuerdo con los expertos en seguridad digital de Kaspersky, ciberdelincuentes están utilizando Google Tasks, el sistema de tareas de Google, como canal para enviar mensajes que aparentan ser tareas internas, logrando así evadir los filtros de seguridad tradicionales y desactivar la sospecha habitual ante correos fraudulentos.

La importancia de este ataque radica en su capacidad para explotar la confianza depositada en plataformas y dominios oficiales, utilizando flujos de notificación legítimos de @google.com para burlar controles y convencer al usuario de la autenticidad del mensaje. En un contexto donde la mayoría de los fraudes dependen de enlaces sospechosos o dominios falsificados, esta estrategia representa un salto de sofisticación en la ingeniería social.

Cómo funciona la campaña de phishing con Google Tasks

En esta campaña, los empleados reciben mensajes con el asunto “You have a new task” (“Tienes una nueva tarea”), simulando que la empresa ha implementado Google Tasks como herramienta de gestión interna. Los correos utilizan indicadores de alta prioridad y plazos ajustados para generar urgencia y aumentar la probabilidad de que el usuario actúe sin verificar.

Al hacer clic en el enlace, la víctima es redirigida a un formulario falso de “verificación de empleado”, donde se le solicita ingresar sus credenciales corporativas.

Dado que el mensaje proviene de un dominio legítimo y un sistema confiable de Google, las notificaciones pueden eludir los filtros de correo y las medidas de seguridad convencionales. Además, la presión psicológica generada por la supuesta urgencia y la apariencia profesional del formulario aumentan la tasa de éxito de la estafa.

Cuáles son los riesgos y consecuencias para las empresas

El robo de credenciales mediante este método puede desencadenar una serie de incidentes graves: acceso no autorizado a correo electrónico, compromisos de cuentas privilegiadas, robo de información sensible, despliegue de ransomware y fraudes financieros a gran escala.

Incluso una sola cuenta vulnerada puede permitir a los atacantes moverse lateralmente dentro de la red corporativa, escalar privilegios y permanecer sin ser detectados durante semanas.

Más allá del daño operativo, las empresas se exponen a sanciones regulatorias, pérdidas económicas y una erosión de la confianza de clientes y socios. El impacto reputacional puede ser tan grave como el técnico, especialmente si la filtración de datos afecta a clientes externos o información estratégica.

¿Por qué es tan peligrosa esta campaña?

Lo más preocupante de este esquema es que no requiere malware ni exploits complejos: basta con explotar la confianza automática en plataformas legítimas como Google. Al utilizar notificaciones reales, los ciberdelincuentes logran colarse “por la puerta grande”, desactivando la alerta natural que suele despertar un correo sospechoso.

Como explica María Isabel Manjarrez, investigadora de Kaspersky, el punto débil ya no es solo el “link” malicioso, sino la confianza excesiva en la infraestructura de grandes proveedores tecnológicos.

Los expertos en ciberseguridad sugieren adoptar una postura vigilante y proactiva para evitar caer en este tipo de fraudes.

Desconfiar incluso de notificaciones provenientes de dominios legítimos, especialmente si se trata de tareas inesperadas o solicitudes inusuales. Confirmar siempre con el equipo si corresponde a un proceso real.

Verificar cuidadosamente los enlaces antes de ingresar información sensible. Asegurarse de que la dirección corresponda al portal oficial de la empresa y no a un sitio clonado o fraudulento.

Activar la verificación en dos pasos (2FA) en todas las cuentas corporativas. Esto añade una barrera extra, protegiendo la cuenta incluso si la contraseña se ve comprometida.

Implementar soluciones de seguridad especializadas para correo electrónico y entornos corporativos, capaces de analizar patrones de comportamiento y detectar anomalías en tiempo real.

La nueva campaña de phishing que utiliza notificaciones legítimas de Google es una advertencia clara sobre la evolución de las amenazas digitales. La confianza en los sistemas oficiales ya no es suficiente: la vigilancia, la educación continua y la protección avanzada son esenciales para proteger las credenciales y la información corporativa en un entorno cada vez más sofisticado y peligroso.