Una campaña de phishing suplanta a Google y es tan sofisticada que Gmail no ha podido alertar sobre ella
El ingeniero de software Nick Johnson ha lanzado una seria advertencia sobre una nueva campaña de phishing que ha conseguido engañar incluso a los sistemas de protección de Gmail.
Esta ofensiva digital ha logrado imitar con tal precisión las comunicaciones oficiales de Google que ni siquiera los filtros de seguridad de la propia compañía han podido detectarla.
¿Qué es el phishing y por qué sigue siendo tan peligroso?
El phishing es una de las prácticas más extendidas en el ámbito de la ciberdelincuencia. Consiste en el envío de mensajes fraudulentos, principalmente por correo electrónico, que aparentan proceder de empresas o instituciones reconocidas. El objetivo es engañar a los destinatarios para que realicen acciones comprometedoras, como transferencias de dinero, entrega de datos personales o descarga de archivos maliciosos.
Un caso que pone en evidencia las vulnerabilidades del sistema
La campaña reciente destaca precisamente por haber sorteado con éxito los controles de seguridad de Google. Según ha explicado Johnson, recibió en su bandeja de entrada un correo procedente supuestamente de la dirección accounts.google.com, que alertaba sobre una supuesta incidencia de seguridad. El mensaje incluía un enlace hacia una página alojada en sites.google.com, lo que reforzaba su apariencia legítima.
Al acceder al enlace, el usuario era dirigido a una página que simulaba ser un portal de soporte técnico de Google. Esta página, creada mediante la plataforma Google Sites, pedía la subida de documentos o redirigía nuevamente a una supuesta página de inicio de sesión, idéntica en apariencia a la original de Google.
Un ataque meticulosamente diseñado
Lo más preocupante, según detalla el ingeniero, es que el mensaje estaba firmado digitalmente por Google, lo cual daba mayor credibilidad al intento de estafa. Un análisis más minucioso reveló que el correo no se había enviado realmente desde Google, sino desde una dirección bajo el dominio privateemail.com. Los atacantes habían registrado un dominio falso y creado una cuenta de Google asociada. A continuación, configuraron una aplicación de autenticación mediante OAuth y lograron enviar correos firmados por Google.
Google tomará medidas
En un hilo publicado en la red social X (antes Twitter), Johnson explicó que inicialmente Google no tenía previsto solucionar el fallo. Sin embargo, tras el revuelo generado por la denuncia del ingeniero, la compañía ha decidido reconsiderar su postura y se ha comprometido a resolver la vulnerabilidad detectada en el sistema OAuth.
Este caso evidencia una vez más la sofisticación creciente de los ciberataques y la necesidad de que tanto los usuarios como las grandes compañías tecnológicas mantengan una vigilancia constante para evitar caer en estas trampas digitales.
