Cuidado con los correos falsos de Google: así funciona la nueva estafa que engaña incluso a Gmail
En los últimos días, se ha detectado una estafa muy elaborada que utiliza correos electrónicos que aparentan ser de Google para engañar a los usuarios y robar sus datos personales.
Este tipo de fraude, conocido como phishing, ha evolucionado hasta el punto de que incluso los sistemas de seguridad de Gmail no logran identificarlo como una amenaza.
El desarrollador Nick Johnson fue una de las víctimas de este ataque. Recibió un correo electrónico que, a simple vista, parecía legítimo: provenía de un subdominio de Google, estaba firmado por la propia empresa y no contenía errores evidentes. Además, Gmail no mostró ninguna advertencia sobre el mensaje.
Al hacer clic en el enlace proporcionado en el correo, el usuario era redirigido a una página de Google Sites que simulaba ser un sitio de soporte oficial. Esta página solicitaba al usuario que ingresara sus credenciales, las cuales eran capturadas por los ciberdelincuentes.
La sofisticación de esta estafa radica en el uso de herramientas legítimas de Google. Los atacantes registraron un dominio y crearon una cuenta de Google asociada. Desde allí, desarrollaron una aplicación OAuth y utilizaron el contenido del correo de phishing como nombre de la aplicación. Posteriormente, otorgaron acceso a esta aplicación a su cuenta de Google recién creada, lo que resultó en el envío de un correo electrónico de notificación de seguridad firmado por Google a las víctimas.
Este caso pone de manifiesto cómo los ciberdelincuentes pueden aprovecharse de las propias herramientas de seguridad para llevar a cabo sus fraudes. Tras las quejas del investigador, Google tomó medidas para solucionar este problema de autenticación.
Recomendaciones para evitar ser víctima de este tipo de estafas:
Verifica siempre el remitente: Aunque el correo parezca legítimo, es importante comprobar la dirección de correo electrónico del remitente.
No hagas clic en enlaces sospechosos: Si recibes un correo inesperado que solicita información personal o te redirige a una página para ingresar tus credenciales, es mejor no interactuar con él.
Utiliza la autenticación en dos pasos: Esta medida añade una capa adicional de seguridad a tus cuentas.
Mantén tu software actualizado: Asegúrate de que tu navegador y sistema operativo estén al día con las últimas actualizaciones de seguridad.
Informa sobre correos sospechosos: Si recibes un correo que consideras fraudulento, repórtalo a la plataforma correspondiente para que tomen medidas.
La ciberseguridad es una responsabilidad compartida. Estar informado y ser precavido puede marcar la diferencia entre mantener tus datos seguros o ser víctima de una estafa.