En las últimas semanas, usuarios y medios especializados han reportado una nueva y sofisticada estafa, la cual podría afectar a más de 1.800 millones usuarios de Gmail. Este engaño llegó hasta Google y aseguraron que se encuentran reforzando su seguridad.
Respecto a la estafa, consiste en un correo electrónico que parece ser enviado desde no-reply@accounts.google.com, que es la dirección real de Google para enviar alertas y actualizaciones de seguridad.
En el correo, el texto indica que «se envió una citación a Google LLC exigiéndonos que presentemos una copia del contenido de su cuenta de Google» y dirige a la web sites.google.com. Si bien este dominio pareciera ser real, la verdadera página de soporte de la empresa es accounts.google.com.
Lea también: Alertan por estafa vía SMS que promete canje de puntos.
ESTAFA A TRAVÉS DE GMAIL
Cabe señalar que este fraude se viralizó gracias a una publicación de X del desarrollador de software Nick Johnson, realizada a mediados de abril de este año.
«Recientemente, fui víctima de un ataque de phishing extremadamente sofisticado, y quiero destacarlo aquí. Aprovecha una vulnerabilidad en la infraestructura de Google y, dada su negativa a solucionarla, es probable que lo veamos con mucha más frecuencia», escribió Johnson.
Es necesario precisar que el problema llega cuando los usuarios ingresan al enlace incluido en el correo, creyendo que es un sitio real de Google, e ingresan sus datos. Según explica el experto, «presumiblemente, recopilan tus credenciales de inicio de sesión y las usan para comprometer tu cuenta».
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google’s infrastructure, and given their refusal to fix it, we’re likely to see it a lot more. Here’s the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
¿CÓMO LOGRAN HACER EL FRAUDE?
Desde Daily Mail, advierten que este ataque sería posible gracias a la herramienta Google OAuth. La cual, permite a aplicaciones de terceros acceder a las cuentas de Google con el permiso del usuario. Quienes son víctimas del fraude, aprobaron los permisos pensando que le estaban dando permiso a Google.
Entonces, los estafadores crean una dirección web falsa que parece similar a la de Google. Luego, configuran una cuenta de correo electrónico en ella y registran una aplicación falsa en Google.
Esta aplicación envía un correo electrónico de notificación que parece real, pues proviene del sistema de Google, pero en realidad se reenvía a las víctimas a través de un servicio que oculta la estafa.
LA RESPUESTA DE GOOGLE
El gigante tecnológico confirmó al portal Newsweek que están al tanto del ataque y que se encuentran tomando medidas para abordar el problema.
«Estamos al tanto de este tipo de ataque», indicó un portavoz de Google, agregando que «hemos estado implementando protecciones (…) estas protecciones pronto estarán completamente implementadas, lo que eliminará esta vía de abuso».
