- La campaña abusa de una función legítima de Google Cloud Application Integration para enviar correos de phishing desde una dirección auténtica de Google.
- Se han detectado más de 9.300 correos maliciosos dirigidos a unas 3.200 organizaciones de todo el mundo, con fuerte impacto en sectores clave.
- El ataque usa varias redirecciones, un CAPTCHA falso y una página de inicio de sesión de Microsoft falsificada para robar credenciales.
- Check Point y Google subrayan la necesidad de reforzar la vigilancia, la formación y las soluciones avanzadas de seguridad en empresas europeas y globales.
Una reciente investigación de Check Point Research ha sacado a la luz una campaña de phishing especialmente sofisticada que se apoya en servicios legítimos de Google Cloud para distribuir correos electrónicos maliciosos con apariencia completamente corporativa. El hallazgo vuelve a poner en el punto de mira el uso indebido de plataformas en la nube, incluso cuando no existe una brecha directa en la infraestructura del proveedor.
En apenas unas semanas, los analistas de la compañía han identificado más de 9.300 mensajes fraudulentos enviados a alrededor de 3.200 organizaciones de todo el mundo, entre ellas numerosas empresas europeas. Todos los correos provenían de la dirección auténtica noreply-application-integration@google.com, lo que incrementó de forma notable tanto la tasa de entrega como la confianza inicial de los destinatarios, complicando la labor de los filtros anti-spam tradicionales.
Cómo se aprovechan de Google Cloud sin atacar a Google
Según el informe, los atacantes han conseguido apoyarse en la función “Enviar correo electrónico” de Google Cloud Application Integration, una herramienta pensada para automatizar flujos de trabajo y notificaciones empresariales. Esta funcionalidad permite que integraciones legítimas remitan mensajes a destinatarios arbitrarios, partiendo de la infraestructura oficial de Google.
Lo llamativo del caso es que no se ha detectado una intrusión directa en la infraestructura de Google, sino un uso malintencionado de una capacidad diseñada para fines empresariales legítimos. De este modo, los delincuentes consiguen aprovechar la reputación del dominio y del remitente para colarse en bandejas de entrada que, en circunstancias normales, filtrarían fácilmente un intento de phishing convencional.
Para reforzar la sensación de normalidad, los correos copian con mucho detalle el estilo y el formato de las notificaciones típicas de Google: avisos de nuevo buzón de voz, solicitudes de acceso a documentos compartidos, mensajes sobre permisos pendientes o referencias a archivos con nombres muy “de oficina”, como un supuesto documento “Q4”. Todo ello encaja a la perfección con el día a día de cualquier entorno corporativo, lo que reduce las sospechas.
Desde Check Point destacan que esta estrategia permite esquivar mecanismos de detección basados en la reputación del dominio o del remitente, ya que, a ojos de muchos sistemas de seguridad, es un correo emitido desde un servicio confiable y ampliamente utilizado por empresas europeas y globales.
Correos que parecen notificaciones empresariales de toda la vida
Los mensajes maliciosos se han diseñado para parecerse al máximo a las notificaciones estándar enviadas por Google en contextos corporativos: correos automáticos, avisos de workflow, invitaciones a revisar documentos, etc. Este tipo de comunicaciones se han convertido en algo tan habitual que muchas personas apenas reparan en ellas antes de hacer clic.
Entre los señuelos más frecuentes detectados por Check Point Research se encuentran alertas de buzón de voz, avisos de acceso a archivos compartidos y peticiones de permisos sobre recursos alojados en la nube. Son escenarios de uso cotidiano en empresas de sectores como tecnología, industria, banca o consultoría, donde la colaboración online y los flujos de aprobación automatizados forman parte del trabajo diario.
En la práctica, la víctima ve un correo que encaja con lo que espera recibir en su día a día, firmado por un remitente que parece legítimo, con un diseño familiar y un texto que no resulta estridente. Esa combinación de factores hace que el usuario baje la guardia y se sienta cómodo pinchando en los enlaces incluidos en el mensaje.
Esta familiaridad juega a favor de los atacantes, sobre todo en Europa y otros mercados maduros digitalmente, donde la dependencia de herramientas cloud y la automatización de procesos es especialmente alta. Cuanto más normalizado está el uso de este tipo de notificaciones, más difícil resulta distinguir lo auténtico de lo manipulado.
Cadena de redirecciones: de Google Cloud a una falsa página de Microsoft
La investigación detalla un flujo de ataque por etapas que saca partido de varios servicios legítimos de Google antes de llevar a la víctima a una web fraudulenta donde se produce el robo de credenciales. Cada paso está pensado para reforzar la confianza del usuario y para complicar el análisis automático de las URL.
En el primer paso, el enlace del correo dirige al usuario a una dirección alojada en storage.cloud.google.com. A efectos prácticos, el destinatario y muchos sistemas de filtrado ven una URL de un servicio de Google, lo que tiende a generar confianza y reduce la probabilidad de que el enlace sea bloqueado o marcado como peligroso.
A continuación, se produce una segunda redirección hacia contenido alojado en googleusercontent.com, donde se presenta un supuesto CAPTCHA o verificación basada en imágenes. Este falso control de seguridad tiene una doble función: por un lado, refuerza la idea de que se está ante un procedimiento legítimo; por otro, actúa como filtro para bloquear herramientas automáticas de análisis que no son capaces de completar esta prueba visual.
Una vez superada esa fase, el flujo culmina en una página de inicio de sesión de Microsoft falsificada, alojada en un dominio que no pertenece a la compañía. A simple vista se trata de un portal de acceso muy similar al oficial, en el que la víctima introduce su nombre de usuario y contraseña pensando que está validando su identidad para acceder a un buzón, documento o recurso corporativo.
En ese último paso, las credenciales introducidas quedan en manos de los atacantes, que pueden reutilizarlas para acceder a servicios en la nube, aplicaciones internas y otros sistemas conectados. Al combinar infraestructuras legítimas de Google, interacción humana y suplantación de marca, los delincuentes consiguen elevar la tasa de éxito y retrasar la detección de la campaña.
Quiénes están en el punto de mira: sectores y regiones más afectados
Los datos recopilados por Check Point Research muestran que la campaña se ha dirigido sobre todo a organizaciones de manufactura e industria, tecnología y SaaS, y finanzas, banca y seguros. Estos sectores concentran el mayor porcentaje de correos detectados, superando conjuntamente la mitad de las incidencias analizadas.
Además, se han observado volúmenes significativos de actividad en servicios profesionales y consultoría, comercio minorista y consumo, medios y publicidad, educación e investigación, salud y ciencias de la vida, energía y utilities, sector público, viajes y transporte. En todos estos ámbitos, el uso intensivo de notificaciones automatizadas y documentos compartidos hace que los correos fraudulentos encajen con naturalidad en los flujos de trabajo diarios.
En cuanto a la distribución geográfica, la mayoría de las organizaciones afectadas se ubican en Estados Unidos, seguida por la región de Asia-Pacífico y, en tercer lugar, Europa. Aunque la proporción exacta varía, casi una quinta parte de los casos identificados se concentra en el entorno europeo, donde numerosas empresas hacen un uso intensivo de soluciones cloud de Google y Microsoft.
La campaña también ha tenido impacto en Canadá, Latinoamérica, Oriente Medio y África, con especial incidencia en países latinoamericanos como Brasil y México. Este alcance global demuestra que el enfoque no se limita a una zona geográfica concreta, sino que va tras organizaciones de todo tipo que confían en infraestructuras en la nube para su actividad diaria.
Para las empresas europeas, este tipo de ataque supone un riesgo añadido en términos de cumplimiento normativo y protección de datos, ya que el acceso no autorizado a cuentas corporativas puede derivar en filtraciones de información sensible o incidentes que afecten a la privacidad de clientes y empleados.
Qué persiguen los atacantes al robar credenciales
El objetivo final de esta campaña es capturar credenciales válidas de acceso a servicios corporativos, especialmente aquellas vinculadas a cuentas con permisos elevados o con acceso a información crítica. Una vez en poder de los atacantes, esos datos pueden utilizarse de múltiples maneras.
En un escenario habitual, las credenciales robadas permiten acceder a buzones de correo empresariales, desde los que se pueden lanzar nuevos ataques internos, acceder a conversaciones sensibles o distribuir malware aprovechando la confianza entre compañeros y departamentos.
Además, si la misma combinación de usuario y contraseña se reutiliza en otros servicios, los delincuentes pueden explorar el acceso a aplicaciones en la nube, plataformas de colaboración, sistemas de gestión de proyectos o incluso infraestructuras internas conectadas. Esto abre la puerta a robos masivos de datos, extorsión, sabotaje o movimientos laterales dentro de la red de la organización.
En contextos regulados como el financiero o el sanitario, un incidente de este tipo puede derivar en sanciones, pérdida de confianza y daños reputacionales de gran calado, especialmente en Europa, donde la protección de datos está fuertemente regulada. Por ello, el simple hecho de que las credenciales se vean comprometidas ya supone un riesgo que muchas compañías no pueden permitirse.
Desde la perspectiva de la ciberseguridad, los ataques basados en robo de credenciales siguen siendo una de las vías de entrada más efectivas y económicas para los delincuentes, ya que les evitan tener que explotar vulnerabilidades técnicas complejas y les dan acceso directo a servicios ya configurados y legitimados por la propia organización.
Respuesta de Google y advertencias para las empresas
Google ha confirmado que ha bloqueado varias campañas de phishing que abusaban de la función de notificación por correo electrónico dentro de Google Cloud Application Integration. La compañía insiste en que la actividad detectada deriva del uso indebido de una herramienta de automatización de flujos de trabajo, y no de una vulneración de su infraestructura.
En su comunicado, el proveedor explica que se han implementado protecciones específicas para frenar este patrón de ataque y que se están tomando medidas adicionales para evitar futuros usos fraudulentos de la misma funcionalidad. No obstante, también recuerda que los actores maliciosos cambian con frecuencia de técnica y tratan de suplantar marcas de confianza de forma constante.
Más allá de la respuesta del proveedor, Check Point Research insiste en la importancia de no bajar la guardia frente a correos electrónicos que aparentemente proceden de servicios legítimos. La confianza excesiva en el dominio o en la marca puede jugar en contra de las organizaciones si no se acompaña de una política de seguridad sólida y de una formación adecuada al personal.
En el contexto europeo, donde muchas compañías dependen intensivamente de aplicaciones cloud para cumplir con sus obligaciones regulatorias y de servicio, este tipo de incidentes refuerza la idea de que la seguridad debe contemplar no solo las infraestructuras propias, sino también el uso y el abuso de servicios de terceros con los que se integran los sistemas corporativos.
Medidas de protección recomendadas para empresas europeas y globales
Ante un escenario en el que los servicios en la nube se convierten en vehículo para campañas de phishing masivas, los expertos recomiendan una combinación de medidas técnicas y organizativas para reducir el riesgo. Ninguna acción por sí sola es suficiente, pero la suma de varias capas de protección mejora notablemente la resistencia frente a estos ataques.
En primer lugar, resulta clave revisar el comportamiento ante notificaciones automatizadas: comprobar el contexto del mensaje, valorar si la urgencia tiene sentido y, en caso de duda, acceder al servicio a través de la URL habitual en lugar de pulsar directamente sobre el enlace del correo.
También se aconseja desconfiar de cualquier mensaje que solicite introducir credenciales o datos sensibles, aunque parezca provenir de un dominio conocido. En entornos corporativos es recomendable fomentar el uso de accesos mediante aplicaciones oficiales, marcadores internos o portales de inicio unificado, reduciendo la dependencia de enlaces recibidos por correo.
Desde el punto de vista técnico, cobra especial importancia implantar soluciones de seguridad capaces de analizar el comportamiento de las URL y las cadenas de redirecciones, en lugar de limitarse a comprobar el dominio inicial. Los sistemas que inspeccionan varios saltos en la navegación son más eficaces a la hora de detectar patrones sospechosos como los descritos por Check Point.
Por último, reforzar la concienciación y la formación de los empleados sigue siendo un pilar básico. Simulacros de phishing, sesiones periódicas de actualización y materiales adaptados a distintos perfiles dentro de la organización pueden marcar la diferencia cuando un usuario se enfrenta a un correo que, sobre el papel, parece venir de Google o de cualquier otro proveedor de confianza.
La importancia de la vigilancia continua en un entorno cada vez más cloud
El caso destapado por Check Point Research evidencia hasta qué punto las herramientas de automatización en la nube pueden ser aprovechadas para campañas de phishing a gran escala sin necesidad de recurrir a las técnicas clásicas de suplantación de dominios o direcciones falsificadas. El abuso de funciones legítimas complica la distinción entre lo seguro y lo malicioso.
Para las organizaciones europeas, inmersas en procesos de digitalización y migración a la nube, este tipo de incidentes es un recordatorio de que la seguridad debe acompañar a cada paso de esa transformación. No se trata solo de confiar en grandes proveedores, sino de entender cómo pueden utilizarse sus herramientas de forma indebida y de prepararse para ese escenario.
La combinación de infraestructura confiable, apariencia corporativa y flujos de validación falsos demuestra que los atacantes continúan refinando sus tácticas para explotar la confianza depositada en las grandes plataformas tecnológicas. En este contexto, mantener sistemas actualizados, aplicar autenticación multifactor, limitar la reutilización de contraseñas y desplegar soluciones de detección avanzadas deja de ser una recomendación genérica para convertirse en una necesidad diaria.
Mirando el conjunto, la campaña que explota Google Cloud Application Integration confirma que el phishing ha dado un salto cualitativo apoyándose en servicios cloud legítimos, y que solo una combinación de tecnología, procesos y cultura de seguridad permitirá a las empresas -en España, en Europa y en el resto del mundo- mantenerse un paso por delante de este tipo de amenazas.
