Estas últimas semanas, se ha detectado una nueva y sofisticada modalidad de estafa que podría afectar a los más de 1.800 millones de usuarios de Gmail, según han reportado usuarios y medios especializados. El fraude llegó hasta Google, quienes aseguraron que se encuentran reforzando su seguridad.
LEE TAMBIÉN
- ¡Atención! Nueva estafa en Gmail utiliza IA para robar cuentas y tus datos
- Alerta de estafa en Gmail: correos falsos de MercadoLibre simulan promociones para robarte dinero
La nueva modalidad de estafa que afecta a Gmail
La estafa consiste de un correo electrónico que parece ser enviado desde [email protected], que es la dirección real de Google para enviar alertas y actualizaciones de seguridad.
En el mail, el texto indica que "se envió una citación a Google LLC exigiéndonos que presentemos una copia del contenido de su cuenta de Google" y dirige a la web sites.google.com. Si bien este dominio pareciera ser real, la verdadera página de soporte de la empresa es accounts.google.com.
Este fraude se viralizó gracias a una publicación de X del desarrollador de software Nick Johnson, realizada a mediados de abril.
"Recientemente, fui víctima de un ataque de phishing extremadamente sofisticado, y quiero destacarlo aquí. Aprovecha una vulnerabilidad en la infraestructura de Google y, dada su negativa a solucionarla, es probable que lo veamos con mucha más frecuencia", escribió Johnson.
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
El problema llega cuando los usuarios ingresan al enlace incluido en el correo –creyendo que es un sitio real de Google– e ingresan sus datos. Según explica el experto, "presumiblemente, recopilan tus credenciales de inicio de sesión y las usan para comprometer tu cuenta".
¿Cómo logran hacer una estafa tan real?
Desde Daily Mail, advierten que este ataque –particularmente, el envío de un mail mediante un dominio que parece ser real– sería posible gracias a la herramienta Google OAuth, la cual permite a aplicaciones de terceros acceder a las cuentas de Google con el permiso del usuario.
Quienes son víctimas del fraude, aprobaron los permisos pensando que le estaban dando permiso a Google.
Entonces, los estafadores crean una dirección web falsa que parece similar a la de Google, configuran una cuenta de correo electrónico en ella y registran una aplicación falsa en Google.
Esta aplicación envía un correo electrónico de notificación que parece real, pues proviene del sistema de Google, pero en realidad se reenvía a las víctimas a través de un servicio que oculta la estafa.
Qué dijo Google
El gigante tecnológico confirmó al portal Newsweek que están al tanto de al ataque y que se encuentran tomando medidas para abordar el problema.
"Estamos al tanto de este tipo de ataque", indicó un portavoz de Google, agregando que "hemos estado implementando protecciones (...) estas protecciones pronto estarán completamente implementadas, lo que eliminará esta vía de abuso".
