Ha surgido una sofisticada campaña de phishing dirigida a las organizaciones del espacio de trabajo de Google a través de correos electrónicos fraudulentos que se hacen pasar por la plataforma de hoja de aplicación de Google.
El ataque demuestra cómo los ciberdelincuentes explotan los servicios legítimos en la nube para evitar las medidas de seguridad de correo electrónico tradicionales y robar credenciales de los usuarios.
Descubierto en septiembre de 2025, esta campaña representa una escalada significativa en las tácticas de ingeniería social, aprovechando el lugar de las organizaciones de confianza inherentes en la plataforma de desarrollo de aplicaciones sin código de Google.
La campaña maliciosa aprovecha la adopción empresarial generalizada de la hoja de aplicaciones y la integración profunda con la infraestructura del espacio de trabajo de Google.
Al disfrazarse de comunicaciones legítimas de la hoja de aplicaciones, los atacantes eluden con éxito los protocolos de autenticación de correo electrónico mientras ofrecen avisos convincentes de violación de marcas registradas a los receptores desprevenidos.
La efectividad del ataque proviene de su abuso de la auténtica infraestructura de Google, lo que hace que la detección sea extraordinariamente desafiante para los sistemas de seguridad convencionales.
Esta operación de phishing sigue un patrón de abuso de servicios legítimos que los investigadores de seguridad han rastreado desde marzo de 2025, cuando campañas similares explotaron la hoja de aplicaciones para hacerse pasar por Meta y PayPal.
Analistas de cuervos identificado La actual campaña de violación de la marca registrada como una evolución de estas tácticas anteriores, señalando cómo los atacantes han refinado su enfoque para maximizar las tasas de éxito de la recolección de credenciales mientras mantienen la seguridad operativa.
El aspecto más preocupante de la campaña radica en su sofisticación técnica y capacidades de derivación de la autenticación.
A diferencia de los ataques de phishing tradicionales que se basan en dominios comprometidos o falsificados, esta operación aprovecha la infraestructura de correo electrónico legítima de Google para entregar contenido malicioso.
Los mensajes se originan en (correo electrónico protegido), asegurando la autenticación perfecta de SPF, DKIM y DMARC mientras mantiene excelentes puntajes de reputación del remitente.
Infraestructura técnica y mecanismo de entrega
La metodología de ataque explota la funcionalidad de correo electrónico legítima de la hoja de aplicaciones a través de múltiples vectores potenciales.
Los atacantes comprometen las cuentas de usuarios existentes en la plataforma o abusan de los sistemas de notificación del servicio para crear mensajes que aparecen auténticamente generados por la infraestructura de Google.
Correo electrónico de phishing (fuente – Raven)
Los correos electrónicos de phishing contienen contenido formateado profesionalmente que imita los avisos de aplicación de marcas registradas, completos con requisitos de cumplimiento legal urgente diseñados para impulsar una acción inmediata del usuario.
Crítico para el éxito de la campaña es el uso de acortadores de URL sospechosos, particularmente los dominios goo.su, que redirigen a las víctimas a los sitios de recolección de credenciales.
Estos enlaces acortados están integrados dentro de notificaciones legales de apariencia legítima, creando un pretexto convincente para la interacción del usuario.
Los atacantes organizan estratégicamente su infraestructura de phishing en plataformas de buena reputación como Vercel, mejorando aún más las capacidades de credibilidad y evasión de la operación.
La detección resulta desafiante porque los correos electrónicos pasan todas las verificaciones de autenticación tradicionales mientras aparecen contextualmente apropiados para los destinatarios familiarizados con las comunicaciones de hojas de aplicación de rutina.
Desglose Phish de la hoja de aplicaciones (Fuente – Raven)
Esta combinación de legitimidad técnica y sofisticación de ingeniería social destaca la necesidad urgente de soluciones de seguridad de correo electrónico conscientes de contexto que analizan las relaciones con contenido del remitente en lugar de depender únicamente de los protocolos de autenticación.
La campaña subraya cómo los servicios en la nube legítimos pueden convertirse en vectores de ataque armado, lo que obliga a las organizaciones a reconsiderar suposiciones fundamentales sobre las comunicaciones confiables en entornos empresariales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
