Google ha emitido una alerta de seguridad dirigida a sus 2.500 millones de usuarios de Gmail para que actualicen sus contraseñas tras detectarse una brecha de datos que afectó a una de sus bases en Salesforce. La compañía aclaró que las cuentas de consumidores de Gmail y Google Cloud no han sido comprometidas directamente, pero advirtió sobre nuevas campañas de suplantación de identidad que buscan aprovechar la situación reciente.
Desde el incidente, los ataques de suplantación y phishing empezaron a propagarse entre usuarios del sistema de correo electrónico, con amenazas dirigidas especialmente a quienes operan cuentas empresariales. El equipo de investigación de amenazas de Google señaló que el phishing, junto con el “vishing” —suplantación por teléfono—, representan ya el 37 % de los accesos no autorizados exitosos en sus plataformas.
Los servidores afectados contenían datos de contacto de empresas, lo que permitió a los atacantes confeccionar correos y llamadas simulando comunicaciones legítimas de Google. La base de datos comprometida administraba información de contactos comerciales relativos a posibles anunciantes. No contenía contraseñas ni datos personales de usuarios de Gmail, de acuerdo con la compañía.
Investigación sobre el incidente y medidas implementadas
El grupo identificado como ShinyHunters obtuvo acceso simulando ser el soporte técnico de Google ante un empleado, logrando así instalar un programa malicioso y exfiltrar el contenido de la base de datos. Google comunicó en su blog que la filtración se originó en una base usada internamente para gestionar prospectos publicitarios, y que la exposición se limitó a información de contacto básica de negocios.
Google confirmó que los responsables también pudieron comprometer tokens de autenticación OAuth asociados a la integración “Drift Email”. La empresa revocó el acceso y deshabilitó de manera temporal el vínculo entre Google Workspace y Salesloft Drift “mientras se lleva a cabo la investigación”, según su declaración. Esta medida busca impedir que la brecha pueda expandirse a otros servicios interconectados.
Recomendaciones de seguridad para usuarios
Google aconseja a todos los usuarios actualizar contraseñas, activar la autenticación en dos pasos que no dependa de mensajes SMS y registrarse en su programa de Protección Avanzada. Entre las recomendaciones destaca reemplazar contraseñas tradicionales por “passkeys”, mecanismos biométricos que solo existen en los dispositivos y no pueden transferirse o escribirse indebidamente, según indica su página oficial de ayuda de cuentas.
El monitoreo de alertas de inicio de sesión, el uso de filtros antiphishing y la abstención de hacer clic en enlaces no solicitados completan la lista de sugerencias. Para mayor protección, el Programa de Protección Avanzada ofrece a usuarios más herramientas antisuplantación, especialmente frente a ataques dirigidos.
Google aseguró que notificó a los administradores de Google Workspace que pudieron ser afectados y reiteró: “no ha habido una vulneración de Google Workspace ni de Alphabet”. Hasta el momento, la empresa no ha divulgado un calendario de actualizaciones adicionales, pero analistas en ciberseguridad prevén que los ataques continúen, dado que los datos expuestos posibilitan nuevas campañas de fraude digital.