Hasta los expertos caen en esta nueva estafa que suplanta a Google: sus correos no hacen saltar las alarmas de GMail

Publicado el 21/04/2025 por Diario Tecnología Artículo original

Tradicionalmente, las ciberestafas basadas en phishing se basan más en la ingeniería social (es decir, en manipular al usuario) que en aprovecharse de complejidades técnicas.

Pero, en ocasiones, se descubren campañas de phishing tan sofisticadas que incluso son capaces de sortear (peor aún, de aprovecharse de) los mecanismos de seguridad de un gigante tecnológico como Google.

Este ataque en cuestión ha sido desvelado y analizado en X por una de sus víctimas. Te explicamos cómo funciona, qué lo hace tan peligroso y cómo puedes protegerte.

¿Qué ocurrió? Una campaña de phishing disfrazada de Google

Todo comenzó cuando múltiples usuarios comenzaron a recibir correos electrónicos que aparentaban provenir de no-reply@accounts.google.com, una dirección real y completamente legítima de Google. Los mensajes alertaban sobre una supuesta solicitud de seguridad, e incluían enlaces a páginas de soporte con apariencia oficial.

Lo más desconcertante es que estos correos pasaban todas los mecanismos de verificación de seguridad de Gmail, incluyendo SPF, DKIM y DMARC. Esto les permitió llegar a las bandejas de entrada de sus víctimas sin alertas ni advertencias, incluso agrupándose junto a mensajes auténticos de seguridad enviados por Google.

El arma secreta: 'DKIM Replay Attack'

La clave de esta campaña radica en una técnica avanzada conocida como ataque de reproducción DKIM, que aprovecha una debilidad en cómo funciona la autenticación de correos electrónicos, y que permite que los reenvíos de un mensaje legítimo sigan siendo detectados como legítimos.

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail)  es un sistema de seguridad que añade una especie de "firma digital" al contenido del correo. Esta firma sirve para demostrar al servidor de destino que el mensaje fue realmente enviado desde un dominio autorizado (como google.com) y que no fue modificado en tránsito.

¿Cómo se explota DKIM en este caso?

1. Captura de un correo legítimo: El atacante obtiene un correo genuino enviado por Google a través de 'no-reply@accounts.google.com'.
2. Reenvío del mensaje sin alterar la firma: Como DKIM solo verifica que el contenido del mensaje no haya sido modificado, pero no controla desde qué servidor se reenvía ni quién lo reenvía, los atacantes pueden tomar un correo legítimo (como una alerta real de Google) y reenviarlo a otras personas. La firma DKIM seguirá siendo válida, por lo que el mensaje parecerá completamente auténtico a los ojos de Gmail y otros servicios de correo.
3. Uso de plataformas intermediarias: Para ocultar el rastro, los ciberdelincuentes reenvían el mensaje usando servicios intermedios como Outlook, Jellyfish SMTP y Namecheap PrivateEmail. Este último permite modificar el campo "Desde" a gusto del atacante.
4. Resultado final: El correo llega al destinatario final pasando todas las validaciones (SPF, DKIM, DMARC), pero con un contenido falso que solicita acciones urgentes como cargar documentos o iniciar sesión.

La trampa final: Google Sites como plataforma de engaño

Uno de los factores más alarmantes es el uso de Google Sites como herramienta para alojar páginas falsas que imitan a la perfección los portales de soporte de Google.

Los usuarios, al ver que el enlace lleva a un subdominio de 'google.com', bajan la guardia. Estas páginas pueden contener formularios para cargar documentos, botones falsos de "ver caso" y pantallas de inicio de sesión diseñadas para robar credenciales:

La vulnerabilidad se agrava porque Google Sites permite incrustar elementos interactivos como formularios y scripts, sin ofrecer una vía clara para denunciar contenido malicioso.

El truco del "me@dominio.com": cómo se engaña a Gmail

Uno de los aspectos más ingeniosos del ataque fue el uso de cuentas de Google con nombres como "me@dominio.com". Al reenviar el correo generado automáticamente por Google como alerta de seguridad OAuth, este aparece en la bandeja del usuario como si fuera una alerta personalizada para "me" ('yo', en inglés), una pequeña manipulación del lenguaje visual que genera una falsa sensación de autenticidad.

Además, los atacantes abusaron de la función de nombre de aplicación en el proceso de autenticación OAuth, llenándolo con todo el texto del mensaje falso. Esto les permitió generar alertas con contenido personalizado que parecen redactadas por Google, cuando en realidad son completamente ficticias.

¿Cómo detectar este tipo de fraudes?

Los fraudes de phishing han evolucionado. Ya no dependen de errores ortográficos ni direcciones sospechosas. Ahora se camuflan perfectamente entre comunicaciones legítimas.

Aquí algunas señales de alerta:

• Enlaces sospechosos a subdominios como 'sites.google.com' en lugar de 'accounts.google.com'.
• Correos electrónicos inesperados que nos exigen acciones inmediatas.
• Mensajes que, aunque parecen legítimos, provienen de cadenas de reenvío inusuales.
• Solicitudes para subir documentos o iniciar sesión fuera del contexto habitual.

Recomendaciones de seguridad

1. No hagas clic en enlaces de correos sospechosos, incluso si parecen legítimos.
2. Verifica siempre la URL de las páginas a las que accedes.
3. Habilita la verificación en dos pasos en tu cuenta de Google.
4. Si eres profesional, usa un 'sandbox'.

¿Qué dice Google?

Inicialmente, Google no consideró esta vulnerabilidad como un problema de seguridad, indicando que "funcionaba como se esperaba". Sin embargo, tras la presión pública y reportes detallados, ha reconsiderado su postura y prometido corregir la explotación del sistema OAuth.

Imagen | Marcos Merino mediante IA

En Genbeta | Mucho cuidado si recibes una alerta de seguridad de Google cómo esta: éste es el pequeño detalle que revela que es una estafa 

utm_campaign=21_Apr_2025"> Marcos Merino .