5 de enero de 2026

Cibercriminales abusan de función de correo en Google Cloud en campaña de phishing multi-etapa

Cibercriminales abusan de función de correo en Google Cloud en campaña de phishing multi-etapa

Ciberdelincuentes están explotando funciones legítimas de envío de correo electrónico en Google Cloud Platform (GCP) para llevar adelante una campaña de phishing multi-etapa altamente sofisticada. El objetivo principal es la recolección de credenciales corporativas y datos sensibles, aprovechando la confianza implícita que muchas organizaciones depositan en la infraestructura y los dominios de Google.

La campaña combina técnicas avanzadas de ingeniería social con servicios en la nube, lo que permite a los atacantes evadir controles de seguridad tradicionales y escalar el ataque con bajo costo operativo.

Mecánica del ataque

En la fase inicial, los atacantes crean o comprometen proyectos en GCP y utilizan servicios de correo asociados a Google Workspace para enviar mensajes que aparentan provenir de dominios verificados y confiables. Estos correos iniciales incluyen enlaces que redirigen a páginas falsas de inicio de sesión, diseñadas para capturar credenciales corporativas.

En una segunda etapa, las víctimas reciben correos adicionales que simulan procesos de “verificación”, “actualización de cuenta” o “confirmación de seguridad”. Esta fase puede derivar en:

  • Instalación de malware mediante enlaces o descargas dirigidas

  • Extracción de tokens de autenticación

  • Ejecución de scripts embebidos para acceso persistente

El uso de múltiples etapas reduce la probabilidad de detección temprana y aumenta la tasa de éxito del compromiso.

Objetivos y vectores comunes

La campaña se dirige principalmente a empleados de empresas medianas y grandes, con foco en sectores financieros, tecnológicos y gubernamentales. Los cebos más utilizados incluyen:

  • Facturas o pagos pendientes

  • Alertas de seguridad de cuentas

  • Invitaciones a reuniones o documentos compartidos

Un factor clave es el abuso de mecanismos legítimos como SPF y DKIM asociados a Google Cloud, lo que dificulta la detección por gateways de correo tradicionales. Entre las variantes observadas se encuentran enlaces a sitios maliciosos alojados en Google Sites y formularios de Google Forms weaponizados para la recolección de credenciales.

Implicaciones y medidas de mitigación

Este tipo de abuso pone de relieve los riesgos de la confianza implícita en proveedores de nube y demuestra cómo los atacantes pueden lograr campañas de phishing altamente escalables utilizando servicios legítimos.

Como medidas de mitigación, se recomienda:

  • Implementar verificación estricta de remitentes y análisis contextual de correos

  • Forzar MFA robusto, preferentemente con tokens de hardware

  • Monitorear logs y actividades sospechosas en entornos GCP

  • Capacitar a los usuarios en detección de phishing contextual y multi-etapa

  • Utilizar gateways de correo avanzados con capacidades de IA y análisis de comportamiento

La colaboración con equipos de threat intelligence resulta crítica para identificar patrones emergentes y bloquear de forma proactiva estas cadenas de ataque.

Fuente: https://blog.checkpoint.com/research/phishing-campaign-leverages-trusted-google-cloud-automation-capabilities-to-evade-detection/
← Anterior Transparent Tribe intensifica ataques co...
Siguiente → Atacante adrxx de Chronus revela robo de...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Transparent Tribe intensifica ataques con RAT contra gobierno y academia en India
Atacante adrxx de Chronus revela robo de datos de 20 mil agentes de la Guardia Nacional
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio