- Los atacantes han usado funciones legítimas de Google Cloud para enviar miles de correos de phishing desde una dirección oficial de Google.
- Los mensajes imitan notificaciones corporativas habituales y redirigen a una falsa página de inicio de sesión de Microsoft para robar credenciales.
- La campaña ha afectado sobre todo a empresas de sectores industriales, tecnológicos y financieros en EE. UU., Asia-Pacífico y Europa.
- Google y Check Point insisten en que no hay brecha en la infraestructura, sino abuso de una herramienta de automatización y piden extremar la vigilancia.
Una reciente investigación de Check Point Research ha puesto el foco en una campaña de phishing a gran escala que se aprovecha de algo que muchas empresas consideran incuestionable: las notificaciones automatizadas de Google Cloud. Lejos de recurrir a dominios extraños o correos mal escritos, los atacantes han conseguido enviar mensajes desde una dirección oficial de Google, lo que complica enormemente su detección.
En apenas dos semanas, se han identificado 9.394 correos electrónicos maliciosos enviados a unas 3.200 organizaciones de todo el mundo. Los mensajes aparentan ser comunicaciones internas rutinarias, como alertas de buzón de voz o avisos de acceso a documentos compartidos, y redirigen a las víctimas a sitios falsos cuidadosamente diseñados para robar credenciales corporativas, afectando también a entidades en Europa y España.
Cómo funciona la campaña de phishing que se camufla como Google Cloud
El elemento más delicado de este ataque es que los correos de phishing se envían desde la dirección noreply-application-integration@google.com, una cuenta legítima vinculada a la integración de aplicaciones de Google Cloud. Es decir, el remitente es real, el dominio pertenece a Google y la infraestructura utilizada es la misma que usan miles de empresas para sus flujos de trabajo automatizados.
Según el informe de Check Point Research, los ciberdelincuentes han abusado de la tarea «Enviar correo electrónico» incluida en Google Cloud Application Integration. Esta función está pensada para automatizar notificaciones corporativas —por ejemplo, avisar de un nuevo documento, un cambio de permisos o una incidencia en un sistema—, pero en este caso se ha explotado para distribuir correos maliciosos a destinatarios arbitrarios sin necesidad de vulnerar servidores de Google.
Gracias a este uso indebido, los mensajes maliciosos pasan muchos filtros de reputación y listas de bloqueo, ya que proceden de una infraestructura considerada de confianza. Para el trabajador medio en una empresa europea, el correo puede parecer simplemente otra notificación más del ecosistema de Google, con un lenguaje y un diseño prácticamente idénticos a los originales.
El contenido de estos correos se centra en notificaciones empresariales habituales. Los señuelos más repetidos hacen referencia a nuevos mensajes de voz, archivos compartidos (como documentos de «Q4» o reportes internos) y solicitudes de permisos. Este tipo de avisos encaja plenamente en la rutina diaria de un entorno corporativo, lo que favorece que el usuario haga clic sin pensárselo demasiado.
Check Point subraya que no hay indicios de una brecha en la infraestructura de Google. En su lugar, se trata de un abuso de funcionalidades legítimas de automatización, algo que obliga a replantear la confianza ciega en este tipo de notificaciones incluso cuando proceden de dominios con buena reputación.
El recorrido del engaño: de Google Cloud a una falsa página de Microsoft
El ataque no se limita al envío del correo. Detrás hay un flujo de redirecciones en varias capas diseñado para generar confianza en el usuario y, al mismo tiempo, complicar la labor de las soluciones de seguridad. Todo comienza cuando la víctima pincha en el botón o enlace que aparece dentro del correo, aparentemente inofensivo.
Ese primer clic dirige al usuario a una URL alojada en storage.cloud.google.com, un servicio legítimo de Google Cloud Storage. El simple hecho de ver un dominio de Google reduce el nivel de sospecha, tanto para el usuario como para muchas herramientas automáticas de análisis de enlaces, que suelen confiar en direcciones asociadas a grandes proveedores en la nube.
Desde ahí, el navegador es redirigido a contenido servido desde googleusercontent.com, otro dominio estándar de la infraestructura de Google. En esta fase, la víctima se encuentra con un CAPTCHA falso o una verificación visual que aparenta filtrar accesos o confirmar que se trata de un humano. Esta maniobra tiene un objetivo muy concreto: bloquear bots, escáneres automáticos y sistemas de sandboxing que analizan enlaces de forma masiva antes de permitir su acceso.
Una vez superada esa supuesta comprobación, llega el tramo definitivo del ataque. El sistema redirige al usuario a una página de inicio de sesión falsa de Microsoft, alojada en un dominio que nada tiene que ver con la compañía. Sin embargo, la apariencia está muy lograda: formularios, logotipos y mensajes recuerdan a la experiencia de entrada típica de servicios como Microsoft 365, muy usada por empresas en España y el resto de Europa.
En este punto se completa el fraude. Cualquier usuario que introduzca su correo corporativo y su contraseña en esa página, en realidad está enviando sus credenciales directamente a los atacantes. Con esos datos en la mano, los ciberdelincuentes pueden intentar acceder a correos internos, repositorios de archivos, intranets y otras herramientas críticas, con el riesgo añadido de moverse lateralmente por la red corporativa.
Sectores empresariales más afectados y alcance geográfico
Los datos recopilados por Check Point Research muestran que esta campaña no se ha lanzado de forma indiscriminada. Aunque el volumen total de correos ronda los 9.400 mensajes, el impacto se concentra en determinados sectores con alto grado de digitalización y un uso intensivo de notificaciones automáticas y documentos compartidos.
Entre las industrias más atacadas destacan la manufactura e industria (19,6%), el ámbito tecnológico y SaaS (18,9%) y el sector de finanzas, banca y seguros (14,8%). También figuran, con porcentajes algo menores, empresas de servicios profesionales y consultoría (10,7%), así como el comercio minorista y consumo (9,1%).
Otros ámbitos con presencia en la lista son medios y publicidad, educación e investigación, salud y ciencias de la vida, energía y utilities, administraciones públicas, viajes, hotelería y transporte, además de un pequeño grupo clasificado como «otros» o desconocidos. En todos ellos, el uso habitual de flujos automatizados —notificaciones de sistemas, accesos a documentos o cambios de permisos— hace que este tipo de señuelos sean especialmente creíbles.
Desde el punto de vista geográfico, la campaña ha golpeado con más fuerza en Estados Unidos (48,6% de las organizaciones afectadas), seguida de la región de Asia-Pacífico (20,7%) y Europa (19,8%). Esto significa que casi una de cada cinco víctimas identificadas se encuentra en territorio europeo, lo que incluye a empresas de la Unión Europea y, previsiblemente, organizaciones españolas que utilizan Google Cloud y Microsoft 365 en su día a día.
La investigación también recoge actividad en Canadá (4,1%), Latinoamérica (3%), Oriente Medio (2,2%) y África (0,9%). En el caso latinoamericano, la campaña se concentró principalmente en Brasil (41% de los incidentes regionales), seguida de México (26%), Argentina (13%), Colombia (12%), Chile (5%) y Perú (3%), con porcentajes residuales en otros países.
Posición de Google y respuesta de seguridad
Ante la publicación de los hallazgos, Google ha salido al paso para aclarar el contexto y tratar de reducir la preocupación entre los millones de organizaciones que dependen de sus servicios en la nube. La compañía insiste en que la campaña se basa en el uso indebido de una herramienta de automatización —concretamente, la funcionalidad de notificaciones por correo electrónico en Google Cloud Application Integration— y que no se ha producido una intrusión en su infraestructura.
En un comunicado, la empresa asegura haber bloqueado varias de las campañas de phishing que explotaban esta característica y afirma que ya ha implementado protecciones específicas frente a este vector de ataque. Aun así, reconoce que los actores maliciosos tratan de forma recurrente de suplantar marcas de confianza, lo que obliga a mantenerse en guardia incluso cuando aparentemente todo encaja.
Google subraya que está dando pasos adicionales para evitar futuros abusos de esta y otras herramientas de automatización. Entre las posibles medidas se encontrarían restricciones más estrictas sobre el uso de ciertas integraciones, mecanismos de validación adicionales y controles mejorados sobre envíos masivos de correo automatizado.
Por su parte, Check Point y otros especialistas en ciberseguridad recuerdan que esta campaña ilustra muy bien una tendencia creciente: la transformación de funciones legítimas de la nube en vectores de ataque de alto impacto. Mientras las empresas migran procesos críticos a plataformas como Google Cloud o Microsoft Azure, los atacantes se esfuerzan en explotar esas mismas capacidades para pasar desapercibidos.
En el caso de Europa, donde muchas organizaciones están sometidas a marcos regulatorios como el Reglamento General de Protección de Datos (RGPD) o la directiva NIS2, este tipo de incidentes puede derivar no solo en pérdidas operativas o filtraciones de información, sino también en sanciones y obligaciones de notificación a autoridades y clientes, con el consiguiente impacto reputacional.
Qué pueden hacer las empresas europeas para protegerse
Aunque la campaña analizada por Check Point ya ha sido parcialmente bloqueada, el método empleado deja claro que habrá intentos similares en el futuro. Para las organizaciones españolas y europeas que utilizan Google Cloud y suites ofimáticas en la nube, conviene reforzar tanto la formación de los empleados como las medidas técnicas de defensa.
En el plano humano, los expertos recomiendan insistir en que comprobar el remitente ya no es suficiente. Incluso cuando el correo llega desde un dominio de confianza, es importante revisar con calma el enlace antes de hacer clic, fijarse en la URL real de destino y desconfiar de cualquier petición de credenciales que llegue a través de un correo inesperado, aunque parezca bien redactado y encaje con la actividad laboral normal.
Desde el punto de vista técnico, se aconseja desplegar soluciones de seguridad capaces de analizar flujos de redirección complejos y no quedarse solo en la primera URL, sobre todo cuando intervienen servicios de almacenamiento en la nube. También puede ser útil complementar los filtros tradicionales con análisis de comportamiento y detección basada en contexto, que tengan en cuenta si un usuario está siendo redirigido de forma inusual hacia una página de inicio de sesión.
Otra línea de defensa clave es reforzar el uso de autenticación multifactor (MFA) en accesos a servicios críticos, especialmente en suites como Microsoft 365 o Google Workspace. Aunque no es una solución mágica, el hecho de exigir un segundo factor —aplicación de autenticación, llave física o código temporal— puede impedir que unas credenciales robadas mediante phishing sirvan por sí solas para entrar en el entorno corporativo.
Por último, conviene revisar configuraciones y permisos en las propias integraciones de Google Cloud utilizadas por la organización: limitar quién puede crear o modificar flujos de automatización, monitorizar envíos masivos de notificaciones y establecer alertas internas cuando se detecten comportamientos anómalos vinculados a estas herramientas.
Este incidente demuestra hasta qué punto la confianza en las grandes plataformas en la nube puede jugar en contra si no se combina con una vigilancia constante. Que un correo llegue desde un dominio de Google y encaje perfectamente con el estilo corporativo ya no garantiza que sea inocuo, y tanto empresas europeas como españolas deberán acostumbrarse a mirar con lupa incluso las notificaciones aparentemente más rutinarias.