Que Google Link de confianza podría ser un ataque de phishing

La estafa que no ves próximamente, porque parece completamente segura

Imagínese esto. 

Es la semana más ajetreada del mes. Tiene tres transacciones apiladas. Cierres, confirmaciones de giros electrónicos, documentos de última hora: todo llega a su bandeja de entrada a la vez. A continuación, aparece un mensaje con un enlace a un archivo compartido. 

Comprueba la URL, igual que se le entrenó. Todo parece bien. Muestra storage.googleapis.com. Hay un candado. Comienza con https. El nombre de Google está ahí mismo. 

Todo parece perfecto. 

Haga clic en .  

Aparecerá una página de inicio de sesión. 

Lo que no ves es que te redirigimos al instante a un sitio controlado por un atacante. Cuando se carga el formulario de inicio de sesión falso, el dominio de Google ha desaparecido de la barra de direcciones. 

Y en segundos, sus credenciales están en manos de otra persona. 

Este ataque se está propagando rápidamente, y los investigadores de seguridad dicen que solo se está volviendo más sofisticado. 

Los ciberdelincuentes están convirtiendo cada vez más las plataformas de nube de confianza en plataformas de lanzamiento para estafas de phishing. Al defender sitios convincentes sobre dominios de buena reputación en minutos, eluden las listas de bloqueo tradicionales y se enfrentan a la credibilidad de proveedores conocidos. Si pregunta cómo se utiliza el alojamiento en la nube en los ataques de phishing, la respuesta es sencilla: escala, automatización y confianza incorporada. Esta guía explica el cambio, los riesgos de seguridad del alojamiento en la nube que hay que vigilar y los pasos prácticos que puede dar ahora para proteger a su personal y sus datos sin ralentizar el negocio.

Por qué el phishing se ha trasladado a la nube

Los atacantes han migrado de servidores personales comprometidos a servicios de nube convencionales porque la familiaridad con la marca, los certificados TLS gratuitos y la entrega de contenido global hacen que sus páginas parezcan legítimas de un vistazo. Los servicios utilizados habitualmente incluyen almacenamiento de objetos y alojamiento estático, funciones sin servidor, creadores de aplicaciones low-code, suites de colaboración que comparten documentos y formularios y redes de entrega de contenido. Incluso los acortadores de enlaces asociados con dominios de confianza están siendo abusados para ocultar destinos.

Los informes del sector muestran un crecimiento constante en el phishing en la nube que se hace pasar por bancos, portales de nómina, herramientas de RR. HH. y aplicaciones de productividad. El motivo es sencillo: la infraestructura se puede crear y retirar rápidamente, por lo que la detección y el desmontaje a menudo retrasan las campañas activas. Los atacantes explotan la confianza del usuario en dominios de nube conocidos. Esta es la nueva primera línea de ataques de phishing y destaca los riesgos urgentes de seguridad del alojamiento en la nube que requieren atención.

Cómo los atacantes aprovechan las marcas de confianza

Los ciberdelincuentes han descubierto algo poderoso: Si no puede superar la confianza, tómela. Investigadores de seguridad han descubierto recientemente campañas de phishing que se ejecutan a escala y que abusan de servicios legítimos de alojamiento en la nube.

¿Qué plataformas utilizaron?

En campañas recientes, los atacantes crearon carpetas dentro de servicios legítimos de alojamiento en la nube como: 

• Google Cloud Storage: servicio de alojamiento propio de Google 
• Microsoft Azure 
• Amazon Web Services (AWS)

Dentro de esas carpetas, cargaron pequeñas páginas de redireccionamiento que parecen inofensivas desde el exterior. Pero en el momento en que hace clic, es devuelto a un sitio de recolección de credenciales. 

¿Cómo funciona?

• El enlace que recibe está alojado en Google 
• El certificado es válido 
• Los filtros de seguridad ven un dominio de confianza 
• Nada parece malicioso, hasta que ya no esté

Si el nombre de la marca te convence, el redireccionamiento hace el resto. 

Muchos filtros de seguridad de correo electrónico comprueban los enlaces con bases de datos de sitios maliciosos conocidos. Cuando un enlace apunta a “storage.googleapis.com”, el filtro ve Google y lo agita al marcarlo como de confianza y reputación. Nunca ve dónde acaba realmente.

¿Por qué funciona esto?

• El enlace que recibe está alojado en Google
• El certificado es válido
• Los filtros de seguridad ven un dominio de confianza
• Nada parece malicioso, hasta que ya no esté

Si el nombre de la marca te convence, el redireccionamiento hace el resto. 

Muchos filtros de seguridad de correo electrónico comprueban los enlaces con bases de datos de sitios maliciosos conocidos. Cuando un enlace apunta a “storage.googleapis.com”, el filtro ve Google y lo hace pasar por marcarlo como de confianza y reputación. Nunca ve dónde acaba realmente.

Una analogía simple

Piense en ello como recibir una carta con una dirección de respuesta de un bufete de abogados que usted reconoce. El servicio postal revisó el sobre y lo selló como seguro. Pero en el interior hay una nota que te dirige a otro lugar por completo. 

Todo parece legítimo hasta que se te redirige silenciosamente a otro lugar.

Por qué incluso las herramientas de seguridad modernas no cumplen con estos ataques

Esta técnica tiene éxito porque evade los puntos de control en los que confiamos y explota atajos de confianza, tanto humanos como técnicos. 

La mayoría de los filtros de correo electrónico escanean los enlaces en reposo, no después de cargarlos. 
 
Eso significa:

• El sistema solo ve el enlace inicial de Google/Azure/AWS 
• Se comprueba como “seguro” 
• El destino de redireccionamiento nunca se analiza 

En otras palabras, el sitio malicioso se esconde detrás de uno legítimo y las herramientas de seguridad solo ven la puerta principal, no el pasillo que conduce hacia atrás.

Esto no es solo un problema de Google

Esto no se limita a Google. 

Los investigadores encontraron la misma técnica en Microsoft Azure, Amazon Web Services y otras plataformas en la nube. Los atacantes no están inmersos en estos servicios, sino que los utilizan según lo previsto y toman prestada la confianza que esas marcas han construido a lo largo de los años. 

Siempre que una plataforma permita a los usuarios alojar contenido, se puede abusar de él de esta manera.

Por qué esto es importante para las transacciones inmobiliarias

Para los sectores inmobiliario y de títulos, las apuestas son claras. 

Un ataque de phishing como este podría dar lugar a:

• Acceso no autorizado a cuentas de correo electrónico
• Compromiso de correo electrónico empresarial
• Instrucciones de la guía manipulada
• Comunicaciones de depósito en garantía comprometidas
• Pérdidas por fraude electrónico de seis o siete cifras

Esto no es una molestia de TI. 

Es una amenaza financiera a nivel de transacción. 

Una credencial robada puede dar a un atacante acceso a sistemas que tocan cuentas de depósito en garantía e instrucciones de transferencia. Eso no es un inconveniente, es un posible evento de fraude electrónico.

Conclusiones prácticas: Cómo protegerse y proteger sus transacciones

Marque sus páginas de inicio de sesión

Para cualquier sitio en el que introduzca credenciales —correo electrónico, plataformas de cable, software de producción de títulos— guarde un marcador y utilícelo siempre.  
 
No dependas de enlaces de correos electrónicos, incluso si la URL parece Google.

Compruebe la barra de direcciones después de cargar la página

Si la URL cambia a algo que no reconoce, especialmente después de hacer clic en un enlace de documento compartido, cierre la pestaña inmediatamente.  

Desarrolle el hábito de verificar la URL en CUALQUIER página donde introduzca credenciales.

Sospeche de mensajes de inicio de sesión inesperados

Los documentos legítimos en la nube no suelen pedirte que vuelvas a introducir las credenciales si ya has iniciado sesión.  

Una pantalla de inicio de sesión que aparece después de hacer clic en un enlace debería generar una bandera.

Verificar a través de un segundo canal

¿Recibió un enlace de un compañero o cliente de confianza?  

Un mensaje de texto rápido o un mensaje de Teams, “¿Me acabas de enviar un enlace de Google?”, les lleva diez segundos y elimina el riesgo por completo.

Informe de enlaces sospechosos

Si algo le parece extraño, informe de ello.  

Informe de enlaces sospechosos incluso cuando el dominio parezca legítimo. Su equipo de seguridad necesita visibilidad de estos intentos para proteger a los demás. Utilice el botón “Notificar correo electrónico” cuando esté disponible.

Conclusiones clave sobre los ataques de phishing en la nube: Confíe, pero verifique

Toda la estrategia del atacante funciona por una razón: Supone que está demasiado ocupado para cuestionar si ese vínculo de aspecto familiar es real. 

En un sector basado en la confianza entre contrapartes, dedicar unos segundos a verificar que no sea fricción, es el trabajo.

Leer más consejos sobre ciberseguridad

Para ver más prácticas recomendadas de ciberseguridad y del sector por parte de Stewart CISO, Genady Vishnevetsky, consulte los siguientes artículos:

• Fraude falso en el sector inmobiliario: Lo que todo comprador, vendedor y agente necesita saber
• Cómo el compromiso del correo electrónico empresarial (BEC) ataca las transacciones inmobiliarias
• Estafas cibernéticas fuera de su bandeja de entrada: Reconocer y prevenir el robo de criptomonedas