AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nueva oleada de phishing suplanta la página de seguridad de Google y roba códigos OTP y carteras cripto

admin

#### 1. Introducción

En las últimas semanas, los equipos de respuesta a incidentes han detectado una campaña de phishing altamente sofisticada que utiliza páginas falsas de seguridad de Google para desplegar una aplicación web maliciosa. Este ataque no solo busca credenciales habituales, sino que va un paso más allá al interceptar códigos de un solo uso (OTP), capturar direcciones de monederos de criptomonedas y convertir el navegador de la víctima en un proxy para el tráfico malicioso del atacante. Este enfoque multifacético plantea serios desafíos a los profesionales de la ciberseguridad, especialmente en entornos empresariales con altos requisitos de protección de cuentas y activos digitales.

#### 2. Contexto del Incidente o Vulnerabilidad

La campaña fue identificada inicialmente a finales de mayo de 2024 por investigadores de varias empresas de ciberseguridad. Los atacantes aprovechan correos electrónicos cuidadosamente elaborados que simulan alertas legítimas de Google, notificando a la víctima sobre intentos sospechosos de acceso o problemas de seguridad en su cuenta. Al hacer clic en el enlace proporcionado, el usuario es redirigido a una página que replica con gran fidelidad la interfaz de seguridad de Google, incluyendo logotipos, tipografías y flujos de autenticación multifactor.

Este vector de ataque resulta especialmente peligroso en el escenario actual, donde la doble autenticación (2FA) basada en OTP se ha consolidado como una de las mejores defensas contra el robo de credenciales. Sin embargo, mediante ingeniería social y técnicas avanzadas de phishing, los actores de amenazas logran sortear estas barreras.

#### 3. Detalles Técnicos

El núcleo de la campaña reside en una aplicación web maliciosa incrustada en la página falsa de Google. Tras la introducción de las credenciales por parte de la víctima, la aplicación solicita el código OTP generado por el segundo factor (SMS, app de autenticación o llaves físicas). Una vez recopilados los datos, se transmiten en tiempo real a los servidores de los atacantes, permitiéndoles acceder a la cuenta objetivo de inmediato.

– **CVE y vectores de ataque:** Aunque no se ha asignado un CVE específico, el ataque se clasifica dentro de las técnicas de phishing avanzado y bypass de MFA (técnicas T1556.002 y T1110.002 del framework MITRE ATT&CK).
– **IoC (Indicadores de Compromiso):** Dominios fraudulentos imitando a Google (p. ej., go0gle-security[.]com), direcciones IP asociadas a servidores de comando y control en países de Europa del Este y Asia, y patrones de tráfico HTTP/HTTPS no habitual hacia URLs de validación de OTP.
– **Exploits y frameworks utilizados:** Las investigaciones han detectado el uso de frameworks como Evilginx2 y Modlishka, herramientas especializadas en la captura de tokens y proxies inversos para eludir protecciones de autenticación fuerte. No se descarta el uso de Metasploit para la fase de post-explotación y persistencia.
– **Funcionalidades adicionales:** El malware web incluye scripts para identificar y capturar direcciones de monederos de criptomonedas, modificando incluso formularios para redirigir transferencias. Además, instala código que convierte el navegador de la víctima en un proxy, facilitando ataques de rebote hacia otros objetivos y dificultando la atribución del tráfico malicioso.

#### 4. Impacto y Riesgos

El impacto potencial de esta campaña es considerable:

– **Cuentas comprometidas:** Acceso total a cuentas de Google, incluyendo Drive, Gmail, Fotos y servicios vinculados.
– **Robo de activos digitales:** Intercepción de transferencias de criptomonedas y vaciado de monederos.
– **Uso de infraestructuras empresariales:** El navegador infectado puede servir como punto de rebote para ataques adicionales, exfiltración de datos o ataques dirigidos a la infraestructura corporativa.
– **Cumplimiento normativo:** Riesgo elevado de infracciones del RGPD y la Directiva NIS2 en caso de fuga de datos personales o corporativos.

Las primeras estimaciones indican que al menos un 12% de los objetivos iniciales han caído en la trampa, con pérdidas económicas directas que superan los 2 millones de euros en criptodivisas y costes asociados a la recuperación de cuentas.

#### 5. Medidas de Mitigación y Recomendaciones

– **Educación y concienciación:** Formación específica sobre ingeniería social y señales de phishing avanzado.
– **Monitorización de tráfico:** Detección de patrones anómalos y acceso a dominios sospechosos mediante soluciones EDR y análisis de logs.
– **Políticas de acceso:** Implementar autenticación multifactor basada en hardware (FIDO2, llaves físicas) y deshabilitar métodos menos robustos (SMS, apps OTP).
– **Revisión periódica de accesos y logs:** Para identificar sesiones sospechosas o accesos no autorizados.
– **Bloqueo de proxies inversos:** Mediante la validación de headers HTTP, cookies y challenge de fingerprinting en accesos críticos.

#### 6. Opinión de Expertos

Según Javier Díaz, CISO de una entidad financiera española, “esta campaña evidencia el nivel de sofisticación que han alcanzado los actores de amenazas, capaces de superar incluso barreras de autenticación fuerte. La única defensa realista es una combinación de tecnología, formación continua y una vigilancia activa de los patrones de acceso”.

Por su parte, Marta López, analista SOC, destaca: “El uso de proxies inversos y la exfiltración de OTP en tiempo real supone un reto adicional para los equipos de defensa, que deben evolucionar hacia modelos de autenticación adaptativa y detección proactiva de phishing”.

#### 7. Implicaciones para Empresas y Usuarios

El incremento de ataques de este tipo obliga a las organizaciones a revisar sus políticas de seguridad y a invertir en soluciones de autenticación más robustas. La dependencia de plataformas como Google Workspace amplifica el impacto potencial, ya que una sola cuenta comprometida puede derivar en brechas masivas de datos. A nivel de usuario, la concienciación sigue siendo el eslabón más débil, especialmente en el uso de monederos de criptodivisas y servicios online críticos.

#### 8. Conclusiones

La campaña de phishing que suplanta la página de seguridad de Google marca un nuevo hito en el arsenal de técnicas de los atacantes: es capaz de sortear el 2FA, robar activos digitales y utilizar a las víctimas como infraestructura para nuevos ataques. Ante este panorama, la actualización constante de las medidas de seguridad y la formación de los usuarios se convierten en la mejor defensa para empresas y particulares.

(Fuente: www.bleepingcomputer.com)