Los correos electrónicos imitan notificaciones empresariales rutinarias
Investigadores de ciberseguridad han revelado detalles de una campaña de phishing que implica a atacantes que se hacen pasar por mensajes legítimos generados por Google abusando del servicio de integración de aplicaciones de Google Cloud para distribuir correos electrónicos.
La actividad, dijo Check Point, aprovecha la confianza asociada con la infraestructura de Google Cloud para enviar los mensajes desde una dirección de correo electrónico legítima ("noreply-application-integration@google[.]com") para que puedan eludir los filtros de seguridad de correo electrónico tradicionales y tengan una mejor posibilidad de llegar a las bandejas de entrada de los usuarios.
"Los correos electrónicos imitan notificaciones empresariales rutinarias, como alertas de correo de voz y solicitudes de acceso a archivos o permisos, lo que los hace parecer normales y confiables para los destinatarios", dijo la empresa de ciberseguridad.
Se ha observado que los atacantes enviaron 9.394 correos electrónicos de phishing dirigidos a aproximadamente 3.200 clientes durante un período de 14 días observado en diciembre de 2025, y las organizaciones afectadas estaban ubicadas en EE. UU., Asia-Pacífico, Europa, Canadá y América Latina.
El núcleo de la campaña es el abuso de la tarea "Enviar correo electrónico" de la integración de aplicaciones, que permite a los usuarios enviar notificaciones por correo electrónico personalizadas desde una integración. Google indica en su documentación de soporte que solo se puede agregar un máximo de 30 destinatarios a la tarea.
El hecho de que estos correos electrónicos se puedan configurar para enviarse a cualquier dirección de correo electrónico arbitraria demuestra la capacidad del actor de amenazas para hacer un mal uso de una capacidad de automatización legítima para su beneficio y enviar correos electrónicos desde dominios propiedad de Google, eludiendo eficazmente los controles DMARC y SPF .
Para aumentar aún más la confianza, los correos electrónicos seguían fielmente el estilo y la estructura de las notificaciones de Google, incluyendo un formato y un lenguaje habituales, afirmó Check Point. Los señuelos solían hacer referencia a mensajes de voz o afirmaciones de que el destinatario había obtenido acceso a un archivo o documento compartido, como un archivo "Q4", lo que incitaba a los destinatarios a hacer clic en los enlaces incrustados y actuar de inmediato.
La cadena de ataque consiste en un flujo de redirección de varias etapas que comienza cuando un destinatario de correo electrónico hace clic en un enlace alojado en storage.cloud.google[.]com, otro servicio confiable de Google Cloud. Esta iniciativa se considera un nuevo intento de reducir la sospecha del usuario y darle una apariencia de legitimidad.
Luego, el enlace redirecciona al usuario al contenido proporcionado por googleusercontent[.]com y le presenta un CAPTCHA falso o una verificación basada en imágenes que actúa como barrera al impedir que los escáneres automáticos y las herramientas de seguridad examinen la infraestructura de ataque, mientras permite el paso de usuarios reales.
Una vez completada la fase de validación, el usuario es llevado a una falsa página de inicio de sesión de Microsoft alojada en un dominio que no es de Microsoft, y en última instancia roba todas las credenciales ingresadas por las víctimas.
En respuesta a los hallazgos, Google ha bloqueado los intentos de phishing que abusan de la función de notificación por correo electrónico dentro de la Integración de aplicaciones de Google Cloud y agregó que está tomando más medidas para evitar un mayor uso indebido.
El análisis de Check Point ha revelado que la campaña se ha dirigido principalmente a los sectores manufacturero, tecnológico, financiero, de servicios profesionales y minorista, aunque también se han destacado otros sectores industriales, como los medios de comunicación, la educación, la atención sanitaria, la energía, el gobierno, los viajes y el transporte.
"Estos sectores suelen depender de notificaciones automatizadas, documentos compartidos y flujos de trabajo basados en permisos, lo que hace que las alertas de la marca Google sean especialmente convincentes", añadió. "Esta campaña pone de manifiesto cómo los atacantes pueden abusar de las funciones legítimas de automatización y flujo de trabajo en la nube para distribuir phishing a gran escala sin recurrir a la suplantación de identidad tradicional".
