Durante las últimas semanas se dio a conocer una "sofisticada" estafa que podría afectar a más de 1.800 millones de usuarios de Gmail. Por este motivo, desde Google entregaron dos recomendaciones clave a las personas para que eviten caer en esta situación que pondría en peligro sus datos en esta plataforma.
De acuerdo a la información proporcionada por los mismos usuarios y medios especializados, la estafa se genera a través de un correo electrónico que simula ser enviado desde "no-reply@accounts.google.com", la cual consiste en la dirección real de Google, desde donde se envían las actualizaciones de seguridad y también alertas.
En detalle, en el mail se señala que "se envió una citación a Google LLC exigiéndonos que presentemos una copia del contenido de su cuenta de Google". Y, a través de un link, dirige al usuario a la página "web sites.google.com", que es la utilizada para cometer el delito. Esto, ya que la real es "accounts.google.com".
Fue el desarrollador de software Nick Johnson quien destapó este fraude mediante su cuenta de X (anteriormente denominada Twitter), en una publicación que hizo a mediados de abril.
En el posteo, el profesional comentó que "recientemente, fui víctima de un ataque de phishing extremadamente sofisticado, y quiero destacarlo aquí. Aprovecha una vulnerabilidad en la infraestructura de Google y, dada su negativa a solucionarla, es probable que lo veamos con mucha más frecuencia", escribió Johnson.
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
El mismo Johnson enfatizó que las personas caen en esta estafa cuando ingresan al link del correo y escriben sus datos. Con esto, "presumiblemente, recopilan tus credenciales de inicio de sesión y las usan para comprometer tu cuenta", aseguró el sujeto.
Google entrega dos consejos clave para evitar caer en esta estafa
Ante esta situación, desde Google recomendaron dos pasos revelantes que deberían seguir los usuarios y usuarias para no caer en este fraude
"Sabemos que existen este tipo de estafas diseñadas por actores maliciosos y hemos implementado protecciones para cerrar esta vía de abuso. Mientras tanto, recomendamos que todos los usuarios adopten la autenticación de dos factores y contraseñas que usen sistemas de 'passkey', que brindan una sólida protección contra este tipo de campañas de phishing", sostuvo un vocero del organismo.
En esta misma línea, manifestaron que es importante "que las personas sepan que Google nunca les pedirá a sus usuarios las credenciales de cuenta, incluyendo su contraseña, contraseñas de un solo uso, confirmación de notificaciones push, y tampoco Google los llamará por teléfono".
"La forma más sencilla de evitar las estafas o engaños por correo electrónico es aprovechar las protecciones integradas en Gmail", puntualizaron, añadiendo que "sea cuál sea el correo electrónico que uses, aquí te acercamos algunas recomendaciones de Google Cloud a tener en cuenta cuando recibas un correo electrónico".
Recomendaciones generales
- Desconfía de los correos electrónicos de extraños: Ten cuidado al abrir correos de personas que no conoces y presta especial atención si alguien te pide información personal.
- Piensa dos veces antes de atender solicitudes urgentes: No interactúes con correos electrónicos de extraños que te pidan urgentemente compartir información personal, especialmente detalles como números de cuenta bancaria, la dirección de tu casa o números de tarjeta de crédito.
- Verifica la dirección de correo electrónico del remitente: Incluso si un correo parece ser de un contacto de confianza -como tu banco-, al pasar el cursor sobre la dirección de correo electrónico del remitente se revelará la fuente real. En muchas estafas, la vista previa del correo del remitente podría ser diferente a la dirección real. Por ejemplo, la vista previa podría decir "Tu banco" y, al pasar el cursor sobre la dirección, en realidad dice "tubanco1@t0ubanco.com".
- Revisa si hay dominios similares: Los actores maliciosos a menudo usan dominios que se parecen para engañar a las personas. Por ejemplo, en lugar del dominio @https://www.google.com/search?q=buenlink.com, un actor malicioso podría usar "@buenlink.soporte".
- Pasa el cursor antes de hacer clic en un enlace: Si tienes alguna duda de que un correo electrónico provenga de una fuente de confianza, no hagas clic en los enlaces que están en el cuerpo del mail. O bien escribe la dirección del sitio web directamente en la barra de URL tú mismo, o pasa el cursor sobre el enlace para asegurarte de que la URL no lleva a un sitio malicioso.
- La gramática importa: Si bien la IA les está facilitando a los estafadores la producción de comunicaciones más pulidas, muchos correos electrónicos engañosos todavía contienen pistas como faltas de ortografía, mala gramática o fuentes que no coinciden. Si ves estas cosas en un correo electrónico, piénsalo dos veces antes de abrirlo o hacer clic en cualquier enlace.
- Ignora las solicitudes de restablecimiento de contraseña que no enviaste: Muchas solicitudes de restablecimiento de contraseña son intentos de actores maliciosos para que interactúes y, sin querer, permitas el acceso a tu cuenta. Si no solicitaste un restablecimiento de contraseña, simplemente borra el correo electrónico.
Ver Video
