Una reciente campaña de phishing está poniendo en riesgo a usuarios de Gmail, al utilizar técnicas avanzadas para enviar correos fraudulentos que aparentan ser notificaciones legítimas desde la dirección oficial [email protected].
¿Cómo funciona esta estafa?
Los atacantes han aprovechado una vulnerabilidad en los sistemas de validación de correos para enviar mensajes que simulan provenir de Google.
El mensaje suele presentarse como una alerta judicial o una advertencia de contenido relacionado con la cuenta del usuario, con un enlace que dirige a una página falsa que imita el soporte oficial de Google.
Te podría interesar leer: Cómo vaciar tu Gmail rápido y fácil sin pagar más por almacenamiento
Al ingresar a esa página e intentar iniciar sesión, las credenciales del usuario son robadas y enviadas a los ciberdelincuentes, quienes luego pueden tomar control total de la cuenta, incluyendo correos, servicios vinculados, documentos y métodos de pago almacenados.
¿Por qué este caso es diferente?
Lo más grave de esta campaña es que los delincuentes lograron burlar la autenticación DKIM (DomainKeys Identified Mail), un sistema que verifica si el correo proviene realmente del dominio que dice tener.
Además, utilizaron una aplicación OAuth para generar notificaciones de seguridad aparentemente válidas. Aunque los enlaces maliciosos no estaban activos (no hipervinculados), el respaldo de firma DKIM otorgaba una falsa sensación de legitimidad.
¿Cómo protegerte?
Aquí te dejamos una serie de medidas básicas para proteger tu cuenta de Gmail y evitar caer en este tipo de fraudes:
1. No hagas clic en enlaces sospechosos
Evita ingresar a páginas a través de enlaces recibidos por correo electrónico, especialmente si:
- Usan lenguaje alarmista o urgencias legales.
- Te piden iniciar sesión de inmediato.
- Prometen acceso a beneficios o seguridad mejorada.
2. Verifica siempre la URL
La única página oficial para ingresar a tu cuenta de Google es:
https://accounts.google.com
Si ves ligeras variaciones en la dirección web, como palabras agregadas o dominios raros (por ejemplo: accounts-google-support.xyz), evita ingresar tus datos.
3. Activa la verificación en dos pasos
Aumenta la seguridad de tu cuenta activando la autenticación en dos pasos desde la configuración de seguridad de tu cuenta de Google.
4. No confíes solo por ver el remitente
El hecho de que un correo diga provenir de “[email protected]” no garantiza que sea legítimo. Siempre revisa el contenido del mensaje y, si tienes dudas, ingresa a tu cuenta de forma directa desde el navegador (no desde el enlace en el correo).
5. Actualiza constantemente tu software
Tanto el navegador como el sistema operativo deben estar actualizados. Muchas brechas de seguridad ocurren en dispositivos desactualizados.
¿Qué hacer si ya diste tus datos?
Si crees que fuiste víctima de esta estafa:
- Cambia tu contraseña inmediatamente desde otro dispositivo confiable.
- Revisa tu actividad reciente en https://myaccount.google.com/security
- Elimina accesos sospechosos a aplicaciones conectadas.
- Informa a Google a través de su centro de ayuda.
Google ya trabaja para cerrar esta brecha de seguridad. Mientras tanto, la recomendación principal es extremar precauciones con cualquier correo electrónico que solicite acciones urgentes, incluso si aparenta ser de una fuente oficial.
bgpa