Una campaña de phishing abusa de Google Cloud para enviar notificaciones corporativas falsas
- Seguridad
La operación maliciosa ha utilizado direcciones oficiales de Google para distribuir más de 9.000 correos de phishing dirigidos a 3.200 organizaciones. El ataque empleó redirecciones en varias fases, una falsa verificación CAPTCHA y una página fraudulenta de inicio de sesión para robar credenciales.
Una sofisticada campaña de phishing ha logrado distribuir miles de correos maliciosos utilizando direcciones oficiales de Google, lo que ha permitido a los atacantes incrementar de forma notable la tasa de entrega y reducir la detección por parte de los sistemas de seguridad tradicionales. Durante las dos últimas semanas, se han identificado más de 9.000 correos fraudulentos enviados a 3.200 organizaciones desde la dirección legítima noreply-application-integration@google.com.
El vector de ataque se basa en el uso indebido de Google Cloud Application Integration, una herramienta diseñada para automatizar flujos de trabajo y notificaciones empresariales. Los correos imitaban con precisión el estilo y el lenguaje de las alertas corporativas habituales, como avisos de buzón de voz, accesos a documentos compartidos o solicitudes de permisos.
A mitad del análisis, Check Point Research confirmó que no existe una brecha en la infraestructura de Google, sino un abuso de una funcionalidad legítima de automatización, lo que refuerza la complejidad del ataque y la dificultad de detectarlo mediante filtros convencionales.
Notificaciones falsas como señuelo en entornos corporativos
El éxito de la campaña radica en su capacidad para replicar comunicaciones que los empleados reciben a diario en entornos donde la colaboración digital es constante. La apariencia legítima de los mensajes redujo la sospecha inicial y facilitó que los usuarios interactuaran con los enlaces incluidos.
El ataque se ejecuta mediante un flujo de redirección en múltiples etapas diseñado para generar confianza y evadir controles. En una primera fase, el usuario es dirigido a enlaces alojados en servicios legítimos de Google Cloud. A continuación, se presenta una falsa verificación tipo CAPTCHA para bloquear herramientas automáticas de análisis, y por último, la víctima es redirigida a una página fraudulenta de inicio de sesión de Microsoft, alojada en un dominio externo, donde se produce el robo de credenciales.
Este enfoque combina infraestructura confiable, interacción humana y suplantación de marca para maximizar la efectividad del ataque.
La campaña se ha dirigido principalmente a organizaciones de manufactura e industria, tecnología y SaaS, finanzas, banca y seguros. Geográficamente, los ataques se concentraron en Estados Unidos, seguidos de Asia-Pacífico y Europa, con actividad adicional en Latinoamérica, Oriente Medio y África.
La campaña demuestra cómo los ciberdelincuentes están evolucionando hacia técnicas que explotan la confianza implícita en plataformas cloud ampliamente utilizadas. Al proceder de infraestructuras consideradas “intachables”, la barrera psicológica y técnica para detectar el fraude se reduce de forma drástica, lo que obliga a las organizaciones a adoptar enfoques de seguridad más avanzados y contextuales.
