Sofisticado ataque de phishing burla la seguridad de GMail

Gmail Hackeado

Lo que deben saber los directivos y usuarios

Recientemente se ha descubierto un sofisticado ataque de phishing que aprovecha una vulnerabilidad en la tecnología OAuth de Google. Esta amenaza es especialmente preocupante porque permite a los atacantes acceder a cuentas de Gmail sin necesidad de conocer las contraseñas, utilizando páginas legítimas de Google. A continuación, explicamos en qué consiste este ataque y qué pueden hacer los directivos y sus equipos para protegerse.

La Seguridad de Gmail: ¿Qué es OAuth y cómo funciona?

OAuth es un sistema que permite a los usuarios autorizar el acceso de aplicaciones externas a sus cuentas (como Gmail o Google Calendar) sin necesidad de compartir su contraseña. Por ejemplo, al iniciar sesión en una app con “Continuar con Google”, se está usando OAuth. El proceso es legítimo y seguro… en teoría.

El ataque: Así consiguen acceso sin robar contraseñas

El problema surge cuando los atacantes abusan de este sistema para engañar a los usuarios. En lugar de usar páginas falsas, el ataque se apoya en páginas oficiales de Google, lo que hace que pase desapercibido para el usuario y los sistemas de seguridad.

Todo empieza con un correo aparentemente legítimo, muchas veces desde direcciones como [email protected], que invita a hacer clic en un enlace. Ese enlace abre una página real de Google que solicita permisos a una aplicación maliciosa camuflada como legítima. Si el usuario concede esos permisos, el atacante obtiene acceso a la cuenta, sin necesidad de conocer la contraseña.

¿Por qué es tan difícil de detectar?

Este ataque es especialmente peligroso porque:

  • Usa páginas oficiales de Google, con certificados y diseño auténtico.

  • No solicita la contraseña, por lo que el usuario no percibe riesgo.

  • El correo engañoso puede estar firmado digitalmente por Google.

  • No se generan alertas de seguridad porque el acceso es autorizado por el usuario.

En definitiva, incluso usuarios precavidos pueden caer en la trampa sin darse cuenta.

¿Qué datos están en riesgo?

Según los permisos otorgados, los atacantes pueden:

  • Leer correos electrónicos de Gmail.

  • Acceder a contactos y calendarios.

  • Consultar documentos y otros datos almacenados en servicios de Google.

Esto representa un riesgo serio para la privacidad, la seguridad de la empresa y su reputación. Además, los atacantes pueden utilizar cuentas comprometidas para atacar a otras personas de la misma organización.

¿Qué dice Google?

Aunque el investigador que descubrió el ataque notificó a Google, en un primer momento la compañía no consideró que fuera un fallo grave. Tras la presión de la comunidad, Google reconoció el riesgo y anunció que trabajará en una solución. Mientras tanto, la vulnerabilidad sigue activa.

Medidas prácticas para protegerse

Hasta que Google corrija esta brecha, aquí van algunas recomendaciones clave:

1. Desconfíe de correos con solicitudes de acceso

No haga clic en enlaces que piden permisos inesperados. Acceda directamente a su cuenta de Google desde el navegador para comprobar alertas reales.

2. Lea con atención las solicitudes de permisos

Antes de autorizar una aplicación, revise qué datos quiere acceder. Si no reconoce la app o el motivo, deniegue el acceso.

3. Revise y revoque accesos a aplicaciones

En su cuenta de Google, acceda a Seguridad > Acceso de terceros y elimine aquellas apps que no use o no reconozca.

4. Active la verificación en dos pasos

Aumenta la protección general, aunque en este caso no detiene el ataque, sí añade seguridad ante otras amenazas.

5. Forme a su equipo

Organice sesiones informativas para alertar sobre este nuevo método de engaño. Un equipo bien informado es la primera línea de defensa.

6. Limite las apps de terceros en Google Workspace

Si su empresa usa Google Workspace, el departamento de TI puede restringir qué aplicaciones externas pueden acceder a las cuentas corporativas.

Conclusión

Este ataque pone de manifiesto que incluso sistemas confiables pueden ser utilizados con fines maliciosos. Mientras Google trabaja en una solución, es esencial que los directivos estén informados y que sus organizaciones adopten medidas preventivas. 

En estos momentos sólo la concienciación, junto con una gestión activa de accesos y permisos, puede marcar la diferencia entre una empresa segura y una víctima más de los ciberdelincuentes.
Fuentes: Este artículo se ha elaborado a partir de la información publicada por investigadores de seguridad y medios especializados sobre el incidente de OAuth de Google ​​gbhackers.com, incluyendo las explicaciones de Nick Johnson que alertó de la campaña de phishing​ y los consejos de expertos en ciberseguridad para mitigar riesgos​. 

Las menciones a detalles técnicos y al estado de la respuesta de Google se basan en los reportes de GBHackers​gbhackers.com​ y La Voz (Argentina) en abril de 2025.

 

LinkedIn
Twitter
Facebook
WhatsApp
0 0 votos
Calificación del artículo
Suscribir
Notificar de
guest
0 Comentarios
Oldest
Newest Most Voted
0
Me encantaría conocer tu opinión, por favor comenta.x
()
x