Hay correos que entran en la bandeja de entrada sin hacer ruido. No parecen peligrosos, no levantan sospechas y, precisamente por eso, son los más difíciles de detectar.
Imagínate que recibes un correo de
“noreply-application-integration@google.com”.
Suena oficial, ¿verdad? Pues ese es el truco.
Investigadores de Check Point han descubierto que unos atacantes están abusando de una herramienta real de Google Cloud llamada Application Integration.
Como el correo sale directamente de los servidores de Google, los filtros de seguridad de tu bandeja de entrada (esos que mandan la basura a Spam) dicen: “Ah, es de Google, esto es de fiar” y te lo plantan en la bandeja principal.
Los números del ataque
Solo en las dos últimas semanas de diciembre de 2025, lanzaron casi 10.000 correos dirigidos a unas 3.200 empresas en todo el mundo, desde Estados Unidos hasta Latinoamérica.
¿Cómo te intentan engañar?
El proceso es súper sofisticado porque usa piezas que parecen de Lego originales:
El gancho
Te llega un mail que parece una notificación rutinaria:
“Tienes un mensaje de voz” o “Te han dado acceso a un archivo del Q4 (cuarto trimestre)”.
Todo con los logos y el diseño perfecto de Google.
El primer salto
Al hacer clic, te llevan a un enlace de storage.cloud.google.com.
Como el dominio es de Google, no sospechas.
La trampa del CAPTCHA
Aquí viene lo brillante. Te ponen un CAPTCHA falso (esos de marcar semáforos o hidrantes).
¿Para qué? Para que las herramientas automáticas de seguridad no puedan ver qué hay detrás, pero tú, como humano, pases de largo.
El robo final
Una vez pasas el CAPTCHA, aterrizas en una página que parece de Microsoft, pero es falsa.
Si pones tu contraseña ahí… ya la tienen.
¿A quiénes buscan?
Están yendo a saco contra sectores que usan mucha automatización:
industria, tecnología, finanzas y retail.
Saben que en estas oficinas es normal recibir mil avisos de “archivo compartido”, así que es más fácil que alguien pique sin pensar.
¿Qué ha pasado ahora?
La buena noticia es que Google ya se puso las pilas, bloqueó esta campaña específica y está parcheando el servicio para que no se pueda abusar más de esa función de notificaciones.
En resumen
No te fíes solo porque el remitente sea “@google.com”.
Si no esperas un archivo o un mensaje de voz, duda siempre antes de meter tus contraseñas en cualquier pantalla que aparezca después de un clic.
Porque hoy el problema ya no es distinguir un correo falso de uno real, sino aprender a desconfiar incluso cuando todo parece legítimo.
FAQ – Preguntas rápidas para entender el ataque
¿El correo es falso o real?
El contenido es fraudulento, pero el envío se hace usando servicios reales de Google, lo que lo hace especialmente peligroso.
¿Puede pasar los filtros de spam?
Sí. Precisamente porque sale desde infraestructura legítima de Google.
¿El CAPTCHA garantiza que una web sea segura?
No. En este caso se usa justo al revés: para dar una falsa sensación de confianza.
¿Afecta solo a grandes empresas?
No. Aunque el foco está en entornos corporativos, cualquier usuario podría verse afectado.
¿Cómo puedo protegerme mejor?
Desconfía de correos no esperados, usa gestores de contraseñas y activa la verificación en dos pasos.
AppleX4: Tu Fuente Definitiva de Noticias Tecnológicas y el Ecosistema Apple en España 
Deja un comentario