8 de diciembre de 2025

Nuevo ataque zero-click en navegadores agénticos permite borrar Google Drive sin interacción del usuario

Nuevo ataque zero-click en navegadores agénticos permite borrar Google Drive sin interacción del usuario

Un sofisticado ataque zero-click ha sido descubierto afectando a navegadores agénticos, permitiendo que ciberdelincuentes eliminen archivos completos de Google Drive sin que el usuario haga absolutamente nada. Este tipo de vulnerabilidad —que no requiere interacción, como hacer clic en enlaces maliciosos o abrir archivos infectados— representa un riesgo grave para la seguridad digital y para la integridad de la información almacenada en la nube.

La técnica explota una falla en el manejo de permisos y solicitudes automatizadas de dichos navegadores, ampliamente utilizados en entornos corporativos y procesos de automatización web. Mediante esta debilidad, los atacantes pueden ejecutar comandos de borrado en la nube aprovechando procesos internos que administran credenciales y sesiones activas de Google, lo que facilita un acceso remoto silencioso y altamente efectivo.

Expertos en ciberseguridad advierten que esta vulnerabilidad es especialmente crítica debido al crecimiento acelerado del uso de navegadores agénticos en empresas, lo que amplifica el potencial de explotación masiva. Además, el carácter zero-click del ataque anula los métodos tradicionales de prevención basados en evitar acciones riesgosas por parte del usuario, haciendo indispensable reforzar los mecanismos de control de acceso, el monitoreo continuo y la segmentación estricta de privilegios.

Google confirmó la existencia de la falla y anunció que trabaja en un parche que será distribuido en las próximas semanas para cerrar esta ventana de ataque. Mientras tanto, se recomienda a usuarios y administradores corporativos aplicar medidas de mitigación como:

  • Revocar permisos de aplicaciones externas sospechosas vinculadas a Google Drive.

  • Configurar alertas de actividad anómala en cuentas de Google y Google Workspace.

  • Restringir el uso de navegadores agénticos y revisar su configuración para limitar el acceso a datos sensibles.

  • Intensificar la vigilancia mediante herramientas de detección de comportamiento anómalo en redes corporativas.

Este incidente refuerza la urgencia de fortalecer la seguridad del ecosistema digital, especialmente en plataformas de almacenamiento en la nube, cada vez más esenciales para la operación de organizaciones y usuarios individuales.

La comunidad internacional de ciberseguridad permanece en alerta ante posibles incidentes derivados de esta vulnerabilidad y espera que las próximas actualizaciones contribuyan a una defensa más sólida frente a esta amenaza emergente.

Fuente: https://galileosg.com/2025/12/05/zero-click-agentic-browser-attack-can-delete-entire-google-drive-using-crafted-emails/
← Anterior Vulnerabilidad Crítica React2Shell entra...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Vulnerabilidad Crítica React2Shell entra al catálogo KEV de CISA: alerta máxima para equipos de desarrollo
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio