Alerta Ciberseguridad: Nuevo Phishing Utiliza Google Tasks para Robar Credenciales Empresariales
Una reciente advertencia de Kaspersky revela una sofisticada estrategia de phishing que aprovecha Google Tasks, lo que permite a los atacantes eludir medidas de seguridad y engañar a empleados con facilidad.
Una nueva táctica de phishing ha emergido, utilizando notificaciones genuinas de Google Tasks para cometer fraudes y robar credenciales corporativas sin levantar sospechas.
El equipo de investigación de Kaspersky ha identificado que los criminales cibernéticos se están sirviendo del dominio oficial @google.com y de un verdadero sistema de notificaciones, logrando así evadir los filtros de seguridad de correos electrónicos.
«Lo más preocupante es que esta operación no intenta suplantar a Google, sino que se basa en sus notificaciones legítimas para infiltrarse», explica María Isabel Manjarrez, experta en seguridad de Kaspersky para América Latina.
Funcionamiento de la Estafa: Phishing a Través de Google Tasks
Las víctimas suelen recibir correos con el asunto «You have a new task», presentándose como notificaciones auténticas. Esta estrategia genera una presión psicológica que aumenta la tasa de éxito del fraude.
El correo menciona que la empresa ha implementado Google Tasks como herramienta interna y añade indicadores de alta prioridad, creando un sentido de urgencia. Al hacer clic en el enlace, los usuarios son redirigidos a un formulario falso que pide la entrada de datos sensibles.
El engaño es aún más efectivo, ya que la página mimetiza el diseño institucional, lo que fortalece la ilusión de autenticidad. Una vez ingresadas las credenciales, éstas caen en manos de los atacantes.
Consecuencias del Robo de Credenciales
Acceder a cuentas corporativas puede resultar en un amplio rango de problemas, incluyendo fraudes financieros, robo de información crítica y la posibilidad de que se implemente ransomware. Una sola cuenta comprometida puede permitir a los atacantes moverse lateralmente dentro de la red.
Este tipo de ataques puede llevar a graves consecuencias financieras, así como a sanciones regulatorias y daños reputacionales significativos.
Recomendaciones para Defendersse del Phishing
Los expertos sugieren mantener una actitud escéptica incluso frente a correos que provengan de dominios reputables como @google.com. Si se recibe una solicitud inusual, es fundamental confirmarla con los departamentos internos antes de responder.
Verificar minuciosamente la URL antes de proporcionar información sensible es una necesidad imperante. Activar la verificación en dos pasos también añade un nivel adicional de protección.
La Ciberseguridad Empresarial: Una Prioridad en el Entorno Actual
Esta nueva técnica refleja una tendencia inquietante hacia ataques más silenciosos y creíbles, que utilizan infraestructuras legítimas como Google para ejecutar fraudes.
Las empresas deben fortalecer su resiliencia digital más allá del cumplimiento normativo básico y ofrecer capacitación continua para sus empleados sobre las nuevas tácticas de phishing.
La combinación de herramientas avanzadas y un monitoreo contextual mejorado son claves para una respuesta efectiva ante las amenazas actuales.
