Una nueva campaña de phishing está aprovechando notificaciones legítimas de Google Tasks para engañar a empleados y robar credenciales corporativas sin levantar sospechas. Investigadores de Kaspersky identificaron que los atacantes están utilizando el dominio oficial @google.com y el sistema de notificaciones de Google para eludir los filtros tradicionales de seguridad en el correo electrónico y aumentar la credibilidad del engaño.
Un email enviado por los atacantes a través de Google Tasks
En esta campaña, las víctimas reciben un mensaje aparentemente auténtico con el asunto “You have a new task” (“Tienes una nueva tarea”). La notificación simula que la empresa del destinatario ha implementado Google Tasks como herramienta interna de gestión, generando presión para actuar con rapidez. En muchos casos, el mensaje incluye indicadores de alta prioridad y plazos ajustados para inducir una reacción inmediata.
Al hacer clic en el enlace incluido en la notificación, el usuario es redirigido a un formulario fraudulento que se presenta como una página de “verificación de empleado”. Bajo el pretexto de confirmar su estatus laboral o validar información interna, se le solicita ingresar sus credenciales corporativas.
Las consecuencias de este tipo de ataque pueden ser críticas para las organizaciones. El robo de credenciales corporativas no solo permite el acceso no autorizado a correos electrónicos y sistemas internos, sino que puede convertirse en la puerta de entrada para ataques de mayor escala, como fraudes financieros, robo de propiedad intelectual, despliegue de ransomware o compromisos de cuentas con privilegios elevados.
En muchos casos, una sola cuenta vulnerada es suficiente para moverse lateralmente dentro de la red, escalar privilegios y permanecer sin ser detectado durante semanas. Además del impacto operativo, las empresas enfrentan riesgos reputacionales, sanciones regulatorias y pérdidas económicas derivadas de la filtración de datos sensibles.
“Lo más preocupante de esta campaña es que no ‘suplanta’ a Google: se apalanca de sus notificaciones reales para colarse por la puerta grande. Al venir desde un dominio legítimo y a través de un flujo de notificaciones confiable, el mensaje puede evadir controles tradicionales del correo y, sobre todo, desactivar la desconfianza natural del usuario. El atacante no necesita malware para causar daño inmediato: le basta con robar credenciales para tomar control de cuentas corporativas, acceder a correo y herramientas internas, escalar el ataque hacia fraude (por ejemplo, BEC), robo de información o incluso preparar el terreno para incidentes mayores como ransomware. En otras palabras, es un recordatorio de que hoy el punto débil ya no es solo el ‘link’ malicioso, sino la confianza automática en plataformas legítimas cuando se usan como canal de ingeniería social”, asegura María Isabel Manjarrez, Investigadora de Seguridad para América Latina en el Equipo Global de Investigación y Análisis de Kaspersky.
Para evitar este tipo de vulnerabilidades, los expertos de Kaspersky recomiendan
● Desconfiar incluso de notificaciones que provengan de dominios legítimos: Los ciberdelincuentes están utilizando servicios confiables para distribuir engaños. Si recibe una “nueva tarea” o solicitud inesperada, confirme primero con su equipo si se trata de un proceso real.
● Verificar cuidadosamente los enlaces antes de ingresar información: Antes de escribir credenciales corporativas, revise la dirección del sitio web y asegúrese de que corresponde al portal oficial de su empresa. Si tiene dudas, no continúe.
● Activar la verificación en dos pasos en todas las cuentas corporativas: Esta capa adicional de seguridad ayuda a proteger las cuentas, incluso si la contraseña llega a filtrarse, reduciendo significativamente el riesgo de accesos no autorizados.
● Implementar soluciones de seguridad especializadas para correo y entornos corporativos, como Kaspersky Security for Mail Server y la línea Kaspersky Next: Las soluciones de protección para correo permiten detectar y bloquear intentos de phishing incluso cuando utilizan dominios legítimos, mientras que plataformas como Kaspersky Next ayudan a identificar accesos inusuales y comportamientos sospechosos dentro de la red, facilitando una respuesta temprana antes de que el incidente escale a fraude o filtración de datos.
