Cuida tu Gmail: nueva estafa suplanta a Google, para robar dinero, cuentas y datos personales

Los ciberdelincuentes siguen ideando formas para robar y acceder a cuentas personales, redes sociales, información bancaria y más, una de las más recientes es la suplantación de Google para tomar el control de correos de Gmail.

El ingeniero de software Nick Johnson fue quien descubrió esta nueva modalidad, y explicó cómo funciona esta amenaza y qué buscan los atacantes, información ideal para saber qué medidas pueden tomarse para protegerse.

Qué tipo de ataque es la suplantación de Google y cómo funciona

La nueva modalidad de fraude se basa en una sofisticada campaña de phishing en la que los ciberdelincuentes se hacen pasar por Google, para engañar a los usuarios y obtener sus datos sensibles, como contraseñas, información bancaria y detalles personales. Sin embargo, lo que hace particularmente peligrosa a esta estafa es su capacidad para burlar las barreras de seguridad de Gmail.

A diferencia de las típicas estafas de phishing que suelen ser fácilmente detectadas por los filtros de seguridad, este ataque tiene la capacidad de eludir mecanismos como SPF, DKIM y DMARC, que son protocolos que protegen contra la suplantación de identidad.

Esto permite que los correos electrónicos fraudulentos pasen desapercibidos y lleguen a la bandeja de entrada del usuario, sin generar las alertas habituales que normalmente los marcarían como spam o potencialmente peligrosos.

Los ciberdelincuentes envían correos electrónicos que aparentan ser enviados desde una dirección legítima de Google, como accounts.google.com. El mensaje suele advertir sobre una supuesta alerta de seguridad, algo que es común en las comunicaciones de Google.

A primera vista, la dirección parece ser completamente auténtica, y el enlace que se incluye en el correo lleva a una página que, visualmente, se asemeja a un portal oficial de soporte de Google. La trampa está en que, aunque todo parece legítimo, el mensaje proviene en realidad de un dominio falso, como privateemail.com, utilizado por los atacantes para ejecutar esta técnica de phishing.

El ataque se apoya en una manipulación avanzada del protocolo de autenticación OAuth de Google. Este protocolo, utilizado para vincular aplicaciones a cuentas de Google, es utilizado por los delincuentes para crear una aplicación maliciosa. Mediante esta aplicación falsa, los atacantes logran que los correos enviados desde ella sean firmados digitalmente por Google, lo que engaña a Gmail y hace que los mensajes sean percibidos como legítimos, a pesar de que en realidad son fraudulentos.

Una vez que el usuario hace clic en el enlace y llega a la página falsa, se le solicita que ingrese sus credenciales de acceso a Google. Al hacerlo, los ciberdelincuentes obtienen acceso a la cuenta de Gmail, y con ello, a todos los servicios asociados, como Google Drive, Google Photos y las contraseñas guardadas en el navegador Chrome, que pueden incluir accesos a cuentas bancarias y redes sociales.

Qué buscan los atacantes y cómo se aprovechan de la confianza del usuario

Los datos que los ciberdelincuentes buscan robar en estos ataques son principalmente credenciales de acceso, que les permiten tomar el control de las cuentas de Gmail de las víctimas. A través de la cuenta de correo, pueden acceder a una gran cantidad de información personal almacenada en los servicios de Google, así como a contraseñas de otros sitios web que los usuarios han guardado en su navegador.

Uno de los aspectos más peligrosos de esta estafa es que los atacantes se centran en obtener datos de acceso y pueden intentar robar información financiera al acceder a cuentas bancarias o a redes sociales donde se almacenan datos sensibles.

Además, la manipulación del protocolo OAuth permite a los ciberdelincuentes crear un entorno donde el mensaje fraudulento parece estar directamente vinculado a Google, lo que hace que la víctima se confíe y caiga en la trampa sin sospechar nada.

Cómo protegerse de esta estafa

• Activar la verificación en dos pasos (2FA): esta es la medida de seguridad más efectiva. La verificación en dos pasos agrega una capa adicional de protección, ya que incluso si un atacante consigue la contraseña de acceso, no podrá entrar a la cuenta sin el código que se envía al teléfono móvil del usuario. Google ofrece varias opciones para activar esta función, como el uso de seguridad biométrica, un código enviado por mensaje de texto o a través de una aplicación de autenticación.
• Revisar la dirección del remitente y los enlaces: siempre es importante verificar que la dirección de correo electrónico del remitente sea realmente legítima. En este caso, es crucial asegurarse de que los enlaces en los correos electrónicos dirijan a páginas de Google, y no a subdominios sospechosos como sites.google.com o dominios extraños. Si el enlace lleva a un sitio web que no es el habitual de Google, no haga clic en él.
• Usar el Centro de Seguridad de Google: Google ofrece un Centro de Seguridad donde los usuarios pueden revisar dispositivos conectados, la actividad reciente y las alertas de seguridad. Esta herramienta permite cerrar sesiones abiertas en otros dispositivos, revocar accesos de aplicaciones sospechosas y reportar cualquier actividad inusual.
• Evitar compartir información confidencial por correo: Google nunca solicitará que ingreses tu contraseña o información confidencial a través de un correo electrónico. Si recibes una solicitud de este tipo, ignórala y repórtala como phishing.