Estafa por Correo que Suplanta a Google Cloud: Cómo Evitarla

Si usas servicios en la nube o trabajas en un entorno corporativo, es muy probable que recibas correos automáticos todos los días. Alertas, notificaciones, permisos, accesos compartidos; forman parte de la rutina. Y precisamente ahí es donde los ciberdelincuentes han encontrado una oportunidad perfecta para atacar.

En los últimos días se ha detectado una campaña de phishing especialmente peligrosa que se hace pasar por Google Cloud, y lo más preocupante es que utiliza infraestructura legítima de Google para engañarte. Desde TecnetOne queremos explicarte con claridad cómo funciona este fraude, por qué es tan efectivo y, sobre todo, qué puedes hacer para no caer.

Por qué esta estafa es diferente (y más peligrosa)

No estás ante el típico correo mal escrito o enviado desde una dirección sospechosa. Todo lo contrario. Esta campaña ha logrado algo que complica mucho la detección: los correos salen desde una dirección real de Google.

Los atacantes enviaron miles de mensajes desde la cuenta

noreply-application-integration@google.com, asociada a integraciones legítimas de Google Cloud. Esto permitió que los mensajes pasaran sin problemas los filtros de seguridad tradicionales y llegaran directamente a la bandeja de entrada de usuarios y empresas.

Según la investigación, se enviaron más de 9.300 correos fraudulentos dirigidos a unas 3.200 organizaciones en todo el mundo. No es un ataque aislado: es una campaña masiva, bien planificada y muy convincente.

Correos que parecen normales porque lo son (en apariencia)

Lo que hace que esta estafa funcione es que imita a la perfección los mensajes reales que ya recibes en tu trabajo. Los correos incluyen asuntos y textos como:

1. Avisos de buzón de voz
   
   
2. Notificaciones de documentos compartidos
   
   
3. Solicitudes de acceso o permisos
   
   
4. Alertas automáticas de servicios en la nube

Nada fuera de lo común. Nada que active una alarma inmediata. Si trabajas con Google Workspace, Google Cloud o Microsoft 365, es fácil caer en la trampa sin darte cuenta.

Lee más: Phishing Intelligence: Escudo Defensivo contra Ciberataques

Así funciona el ataque paso a paso

Para que entiendas por qué este phishing es tan eficaz, conviene ver el recorrido completo del engaño. No es un solo clic: es una cadena de pasos diseñada para generar confianza y evadir la seguridad.

1. El primer clic en un enlace “legítimo”

Cuando haces clic en el enlace del correo, no te lleva directamente a una web sospechosa. Primero te redirige a una URL real alojada en storage.cloud.google.com, un servicio auténtico de Google Cloud.

Este detalle es clave: al usar un dominio legítimo, los filtros automáticos confían en el enlace y no lo bloquean.

2. Un CAPTCHA falso para filtrar a los humanos

Desde ahí, pasas a una página en googleusercontent.com, otro dominio válido de Google. En esta fase aparece un supuesto CAPTCHA.

No sirve para verificar que no eres un robot. Su verdadero objetivo es evitar que las herramientas automáticas de seguridad analicen el enlace. Solo los usuarios humanos continúan.

3. La trampa final: una web falsa de Microsoft

Tras el CAPTCHA, llegas a una página falsa de inicio de sesión de Microsoft, alojada en un dominio externo. Visualmente es casi idéntica a la real.

Si introduces tu usuario y contraseña, los datos se envían directamente a los atacantes. En ese momento, tu cuenta ya está comprometida.

Qué buscan realmente los atacantes

El objetivo no es solo robar una contraseña. Lo que buscan son credenciales corporativas válidas, especialmente de cuentas con acceso a:

1. Correo empresarial
   
   
2. Documentos compartidos
   
   
3. Plataformas en la nube
   
   
4. Herramientas internas
   
   
5. Sistemas con privilegios elevados

Con una sola cuenta comprometida, pueden:

1. Acceder a información sensible
   
   
2. Lanzar ataques internos
   
   
3. Suplantar identidades dentro de la empresa
   
   
4. Escalar privilegios
   
   
5. Preparar ataques mayores como ransomware o fraude financiero

Por eso este tipo de phishing suele ser el primer paso de incidentes mucho más graves.

Sectores y países más afectados

Aunque el ataque es global, hay sectores especialmente golpeados. Los más afectados hasta ahora son:

1. Manufactura e industria
   
   
2. Tecnología y empresas SaaS
   
   
3. Finanzas, banca y seguros

También se han detectado campañas contra:

1. Consultoras
   
   
2. Educación
   
   
3. Salud
   
   
4. Energía
   
   
5. Sector público
   
   
6. Logística y viajes

En cuanto a la distribución geográfica, la mayoría de los casos se concentran en:

1. Estados Unidos
   
   
2. Asia-Pacífico
   
   
3. Europa

Latinoamérica representa un porcentaje menor, pero Brasil y México destacan como los países más afectados de la región, algo especialmente relevante si operas desde allí o trabajas con equipos internacionales.

Por qué los filtros tradicionales ya no son suficientes

Este ataque demuestra algo que en TecnetOne llevamos tiempo señalando: confiar solo en dominios “legítimos” ya no es seguro.

Los ciberdelincuentes ahora:

1. Abusan de servicios cloud reales
   
   
2. Encadenan redirecciones legítimas
   
   
3. Utilizan marcas reconocidas
   
   
4. Copian flujos de trabajo cotidianos

Todo esto hace que el phishing moderno sea mucho más difícil de detectar si no cuentas con soluciones avanzadas y usuarios bien formados.

También te podría interesar: Bancoppel alerta sobre nuevo caso de phishing en cuentas

Cómo protegerte (y proteger a tu empresa)

Aunque el ataque es sofisticado, hay medidas claras que puedes aplicar desde hoy:

1. Desconfía de cualquier correo que te pida credenciales

Da igual que el remitente parezca legítimo. Ningún servicio serio debería pedirte usuario y contraseña por correo.

2. Revisa siempre la URL final

Antes de introducir datos, fíjate en el dominio real. Un pequeño detalle puede marcar la diferencia.

3. Activa la autenticación multifactor (MFA)

Aunque roben tu contraseña, el MFA puede frenar el acceso no autorizado.

4. Refuerza la formación de los empleados

La concienciación es clave. Este ataque explota hábitos normales, no errores evidentes.

5. Usa soluciones de seguridad avanzadas

Necesitas herramientas capaces de:

1. Analizar comportamientos
2. Detectar cadenas de redirección sospechosas
3. No confiar ciegamente en dominios conocidos

Una amenaza que no será la última

Aunque esta campaña concreta ya ha sido bloqueada, es muy probable que aparezcan variantes similares. Los atacantes seguirán abusando de servicios cloud, automatización y flujos legítimos.

La lección es clara: el phishing ha evolucionado, y tu defensa también debe hacerlo.

Conclusión: la confianza ya no basta

Hoy, incluso un correo que parece 100 % real puede ser una trampa. Por eso, desde TecnetOne insistimos en un enfoque integral: tecnología, procesos y personas.

Si aprendes a detectar estas señales y refuerzas tus sistemas, puedes reducir drásticamente el riesgo. En un entorno donde la nube es parte del día a día, la ciberseguridad ya no es opcional: es una condición básica para trabajar con tranquilidad.