
Una sofisticada campaña de phishing está poniendo en alerta al sector tecnológico y corporativo, al aprovechar notificaciones legítimas de Google para engañar a empleados y robar credenciales de acceso.
De acuerdo con los expertos en seguridad digital de Kaspersky, ciberdelincuentes están utilizando Google Tasks, el sistema de tareas de Google, como canal para enviar mensajes que aparentan ser tareas internas, logrando así evadir los filtros de seguridad tradicionales y desactivar la sospecha habitual ante correos fraudulentos.
PUBLICIDAD
La importancia de este ataque radica en su capacidad para explotar la confianza depositada en plataformas y dominios oficiales, utilizando flujos de notificación legítimos de @google.com para burlar controles y convencer al usuario de la autenticidad del mensaje. En un contexto donde la mayoría de los fraudes dependen de enlaces sospechosos o dominios falsificados, esta estrategia representa un salto de sofisticación en la ingeniería social.

Cómo funciona la campaña de phishing con Google Tasks
En esta campaña, los empleados reciben mensajes con el asunto “You have a new task” (“Tienes una nueva tarea”), simulando que la empresa ha implementado Google Tasks como herramienta de gestión interna. Los correos utilizan indicadores de alta prioridad y plazos ajustados para generar urgencia y aumentar la probabilidad de que el usuario actúe sin verificar.
PUBLICIDAD
Al hacer clic en el enlace, la víctima es redirigida a un formulario falso de “verificación de empleado”, donde se le solicita ingresar sus credenciales corporativas.
Dado que el mensaje proviene de un dominio legítimo y un sistema confiable de Google, las notificaciones pueden eludir los filtros de correo y las medidas de seguridad convencionales. Además, la presión psicológica generada por la supuesta urgencia y la apariencia profesional del formulario aumentan la tasa de éxito de la estafa.
PUBLICIDAD
Cuáles son los riesgos y consecuencias para las empresas
El robo de credenciales mediante este método puede desencadenar una serie de incidentes graves: acceso no autorizado a correo electrónico, compromisos de cuentas privilegiadas, robo de información sensible, despliegue de ransomware y fraudes financieros a gran escala.

Incluso una sola cuenta vulnerada puede permitir a los atacantes moverse lateralmente dentro de la red corporativa, escalar privilegios y permanecer sin ser detectados durante semanas.
PUBLICIDAD
Más allá del daño operativo, las empresas se exponen a sanciones regulatorias, pérdidas económicas y una erosión de la confianza de clientes y socios. El impacto reputacional puede ser tan grave como el técnico, especialmente si la filtración de datos afecta a clientes externos o información estratégica.
¿Por qué es tan peligrosa esta campaña?
Lo más preocupante de este esquema es que no requiere malware ni exploits complejos: basta con explotar la confianza automática en plataformas legítimas como Google. Al utilizar notificaciones reales, los ciberdelincuentes logran colarse “por la puerta grande”, desactivando la alerta natural que suele despertar un correo sospechoso.
PUBLICIDAD
Como explica María Isabel Manjarrez, investigadora de Kaspersky, el punto débil ya no es solo el “link” malicioso, sino la confianza excesiva en la infraestructura de grandes proveedores tecnológicos.
Los expertos en ciberseguridad sugieren adoptar una postura vigilante y proactiva para evitar caer en este tipo de fraudes.

Desconfiar incluso de notificaciones provenientes de dominios legítimos, especialmente si se trata de tareas inesperadas o solicitudes inusuales. Confirmar siempre con el equipo si corresponde a un proceso real.
PUBLICIDAD
Verificar cuidadosamente los enlaces antes de ingresar información sensible. Asegurarse de que la dirección corresponda al portal oficial de la empresa y no a un sitio clonado o fraudulento.
Activar la verificación en dos pasos (2FA) en todas las cuentas corporativas. Esto añade una barrera extra, protegiendo la cuenta incluso si la contraseña se ve comprometida.
PUBLICIDAD
Implementar soluciones de seguridad especializadas para correo electrónico y entornos corporativos, capaces de analizar patrones de comportamiento y detectar anomalías en tiempo real.
La nueva campaña de phishing que utiliza notificaciones legítimas de Google es una advertencia clara sobre la evolución de las amenazas digitales. La confianza en los sistemas oficiales ya no es suficiente: la vigilancia, la educación continua y la protección avanzada son esenciales para proteger las credenciales y la información corporativa en un entorno cada vez más sofisticado y peligroso.
PUBLICIDAD
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Cómo activar la memoria de Gemini Live para conversar más fácil con tu teléfono
Google apuesta por un asistente digital que mantenga el contexto de cada usuario

Estudios de Hollywood podrían ser obligados a revelar cómo utilizan la IA
El caso podría establecer precedentes sobre la transparencia en el uso de inteligencia artificial en la industria audiovisual

Xbox Game Pass le dice adiós a estos juegos a partir del 15 de julio de 2026
Los suscriptores pueden adquirir los juegos con descuento antes de su retiro definitivo del catálogo

Cinco trucos para ahorrar energía al usar el aire acondicionado en época de calor
El equipo no debería mantener más de 12 grados de distancia respecto a la temperatura exterior

Los 10 animes más populares en Crunchyroll
Cada semana se publican nuevos capítulos de las series que están en emisión en Japón



