MENU
Canal 26
  1. Home
  2. Empresarias
Buscar Noticias
OSA Argentina
26.12.2025  por TOTALMEDIOS

Alertan por una campaña de phishing que utiliza notificaciones legítimas de Google Cloud

Un informe de Check Point Research reveló una campaña de phishing a gran escala que utilizó de forma indebida integraciones legítimas de Google Cloud para distribuir correos electrónicos maliciosos. Los mensajes imitaban notificaciones empresariales habituales y redirigían a las víctimas a sitios falsos diseñados para robar credenciales, afectando a organizaciones de múltiples sectores y regiones.

El informe de Check Point Research describe una campaña de phishing en la que atacantes suplantan mensajes legítimos generados por Google mediante el uso indebido de la integración de aplicaciones de Google Cloud para distribuir correos electrónicos maliciosos que parecen provenir de una infraestructura confiable de Google. Los correos electrónicos imitan notificaciones empresariales rutinarias, como alertas de correo de voz y solicitudes de acceso o permisos a archivos, lo que los hace parecer normales y confiables para los destinatarios.

En este incidente, los atacantes enviaron 9394 correos electrónicos de phishing dirigidos a aproximadamente 3200 clientes durante los últimos 14 días. Todos los mensajes se enviaron desde la dirección legítima de Google noreply-application-integration@google.com, lo que aumentó significativamente su credibilidad y la probabilidad de llegar a las bandejas de entrada de los usuarios finales.
Kantar IBOPE Media
Método de ataque

Según las características observadas del correo electrónico y la infraestructura del remitente, la campaña parece aprovechar la tarea "Enviar correo electrónico" de la integración de aplicaciones de Google Cloud, una función diseñada para la automatización legítima del flujo de trabajo y las notificaciones del sistema. Esta funcionalidad permite que las integraciones configuradas envíen correos electrónicos a destinatarios arbitrarios, lo que explicaría cómo los atacantes pudieron distribuir mensajes directamente desde los dominios de Google sin comprometer a la propia Google.

Este comportamiento sugiere un uso indebido de las capacidades legítimas de automatización en la nube para suplantar notificaciones auténticas de Google, eludiendo los controles tradicionales de detección basados en la reputación del remitente y el dominio.

Para aumentar aún más la confianza, los correos electrónicos se ajustaban estrictamente al estilo y la estructura de las notificaciones de Google, incluyendo un formato y un lenguaje habituales. Los señuelos solían hacer referencia a mensajes de correo de voz o afirmaciones de que el destinatario había obtenido acceso a un archivo o documento compartido, como el acceso a un archivo "Q4", lo que incitaba a los destinatarios a hacer clic en enlaces incrustados y actuar de inmediato.
Técnica de redirección de enlaces (flujo visual)

Como se ilustra en el diagrama adjunto, el ataque se basa en un flujo de redirección de varias etapas diseñado para reducir la sospecha del usuario y retrasar la detección:

1. Clic inicial

El usuario hace clic en un botón o enlace alojado en storage.cloud.google.com, un servicio confiable de Google Cloud. Usar una URL legítima alojada en la nube en el primer paso ayuda a generar confianza y reduce la probabilidad de que el enlace sea bloqueado o cuestionado.

2. Etapa de validación y filtrado

El enlace redirige al usuario al contenido de googleusercontent.com, donde se presenta un CAPTCHA falso o una verificación basada en imágenes. Este paso tiene como objetivo bloquear los escáneres automatizados y las herramientas de seguridad, permitiendo a los usuarios reales continuar.

3. Destino final: Recopilación de credenciales

Tras pasar la etapa de validación, el usuario es redirigido a una página de inicio de sesión falsa de Microsoft alojada en un dominio ajeno a Microsoft. El atacante captura todas las credenciales introducidas en esta etapa, completando así la cadena de phishing.

Este enfoque de redirección en capas combina una infraestructura de nube confiable, controles de interacción del usuario y suplantación de marca para maximizar el éxito y minimizar la detección temprana.

Ejemplo de correos electrónicos de phishing reales que fueron detectados:

Afectados (últimos 14 días):

Por sector

El análisis muestra que la campaña se dirigió principalmente a organizaciones de los sectores manufacturero/industrial (19,6%), tecnológico/SaaS (18,9%) y financiero/bancario/seguros (14,8%), seguidas de los de servicios profesionales/consultoría (10,7%) y minorista/consumo (9,1%). Se observó una menor actividad en los sectores de medios/publicidad (7,4%), educación/investigación (6,2%), salud/ciencias biológicas (5,1%), energía/servicios públicos (3,2%), gobierno/sector público (2,5%), viajes/hotelería (1,9%) y transporte/logística (0,9%), con otros/desconocido (1,7%).

Estos sectores suelen utilizar notificaciones automatizadas, documentos compartidos y flujos de trabajo con permisos, lo que hace que las alertas de Google sean especialmente convincentes.

Por región

Las organizaciones afectadas se ubicaron principalmente en Estados Unidos (48,6%), seguidas de Asia-Pacífico (20,7%) y Europa (19,8%). Se observó un impacto adicional en Canadá (4,1%), Latinoamérica (3,0%), Oriente Medio (2,2%) y África (0,9%), con un 0,7% de casos desconocidos o sin clasificar.

Dentro de Latinoamérica, la actividad se concentró en Brasil (41%) y México (26%), seguidos de Argentina (13%), Colombia (12%), Chile (5%), Perú (3%), con porcentajes menores en otros países.

Declaración de Google

"Hemos bloqueado varias campañas de phishing que implicaban el uso indebido de una función de notificación por correo electrónico dentro de Google Cloud Application Integration. Cabe destacar que esta actividad se originó por el uso indebido de una herramienta de automatización de flujos de trabajo, no por una vulneración de la infraestructura de Google. Si bien hemos implementado protecciones para proteger a los usuarios contra este ataque específico, recomendamos mantener la cautela, ya que los actores maliciosos con frecuencia intentan suplantar marcas de confianza. Estamos tomando medidas adicionales para evitar futuros usos indebidos".

Esta campaña destaca cómo los atacantes pueden usar indebidamente funciones legítimas de automatización y flujos de trabajo en la nube para distribuir phishing a gran escala sin recurrir a la suplantación de identidad tradicional. Refuerza la necesidad de una vigilancia continua, especialmente cuando los correos electrónicos incluyen enlaces en los que se puede hacer clic, incluso cuando el remitente, el dominio y la infraestructura parecen totalmente legítimos.


En esta nota:
Google Cloud
Phishing
google

Te puede interesar

Google incorpora a Infobae a su programa global de inteligencia artificial para medios

El año en búsquedas de Google: fútbol, series y las figuras que marcaron tendencia en la Argentina

Cuáles son los sitios web más visitados de Estados Unidos durante 2025

Elecciones 2025: ¿cuáles son las consultas más populares de los argentinos antes de ir a las urnas?

Google inauguró en México Search Central Live 2025 con foco en medios y periodismo digital

Comienza el juicio en el que Google se juega la ruptura forzosa de su negocio publicitario

Otras noticias del día

Campañas

Wild Fi Paraguay lanza “La Cita Mundialista” para Slots del Sol de cara al Mundial 2026

En la antesala del Mundial 2026, Wild Fi Paraguay presentó “La Cita Mundialista”, una campaña desarrollada para Slots del Sol que propone vivir el evento deportivo desde una lógica experiencial. La iniciativa, protagonizada por Laurys Diva, combina entretenimiento, humor e identidad local, e incluye el sorteo de dos viajes completos para compartir la experiencia mundialista junto a la influencer. Ver más

Medios

DIRECTV y SKY Brasil lanzan una programación especial de verano en streaming desde Punta del Este

DIRECTV Latin America y SKY Brasil presentarán este verano una programación especial en vivo desde Punta del Este a través del canal DGO Stream. La propuesta reunirá a destacadas figuras del entretenimiento, el deporte y las redes sociales, con transmisiones diarias desde la costa uruguaya para toda Latinoamérica y un segmento regional especialmente pensado para Brasil. Ver más

Research

Año Nuevo: cuáles son los destinos más buscados por los argentinos en Booking.com

De cara a las celebraciones de Año Nuevo, Booking.com identificó cuáles son los destinos más buscados por los viajeros argentinos para despedir el año. Mar del Plata encabeza el ranking, seguida por Florianópolis y Río de Janeiro, en un listado donde se destacan tanto opciones nacionales como destinos brasileños entre las preferencias para el cierre de 2025. Ver más

multimedia / campañas publicitarias

Maracuyá Rockstar

Agencia: Febrero made Marca: Rockstar Soporte:

Rockstar lanzó en Argentina su nuevo sabor maracuyá con una campaña desarrollada junto a Febrero Made. Bajo el concepto “Sabor y energía para el laburanchi”, la propuesta busca conectar con el consumo diario en una categoría en crecimiento, combinando frescura, sabor tropical y energía en el formato clásico de 500 ml, en el marco de la expansión del portafolio de bebidas energéticas de PepsiCo.

Acá y Ahora

Agencia:Vml argentina

Marca:Generali

Soporte:

La Cita Mundialista

Agencia:Wild fi

Marca:Slots del sol

Soporte:

El fan más fan

Agencia:Zurda agency

Marca:Sabritas

Soporte:

“Billboard 100”

Agencia:Gut buenos aires

Marca:Noblex

Soporte:Tv y web

Ver todos
Suscribite a nuestro canal