Campaña de Phishing Suplanta a Más de 30 Marcas para Robar Credenciales de Google a Profesionales del Marketing
## Introducción
En el contexto actual de digitalización y teletrabajo, las campañas de phishing han evolucionado en complejidad y alcance. Recientemente, se ha detectado una campaña activa que emplea técnicas de suplantación de identidad (impersonation) de más de 30 marcas reconocidas —entre ellas Adobe, Netflix, Coca-Cola y OpenAI— para ejecutar entrevistas de trabajo fraudulentas cuyo objetivo final es comprometer cuentas de Google, orientándose especialmente hacia profesionales del marketing. Este modus operandi no solo pone en riesgo a usuarios individuales, sino que también representa una amenaza significativa para la seguridad de las infraestructuras empresariales.
## Contexto del Incidente
La campaña fue identificada a mediados de junio de 2024 por investigadores de ciberseguridad que observaron un inusual incremento en el volumen de mensajes de correo electrónico dirigidos a perfiles de marketing, comunicación y recursos humanos. Los atacantes, haciéndose pasar por recruiters de empresas multinacionales, envían ofertas de trabajo aparentemente legítimas y posteriormente invitan a los candidatos a supuestas entrevistas virtuales. Durante estas “entrevistas”, que simulan procesos de selección estándar, se solicita a las víctimas que accedan a un enlace para validar su identidad o consultar documentación adicional, desencadenando así el robo de credenciales mediante páginas de login falsas de Google.
## Detalles Técnicos
### CVE y Vectores de Ataque
Aunque esta campaña no explota una vulnerabilidad específica catalogada en la base de datos de CVE, sí aprovecha debilidades humanas mediante técnicas de ingeniería social y phishing dirigido (spear phishing). El vector principal es el correo electrónico personalizado que utiliza dominios typosquatted (similares a los originales) y servicios legítimos de correo profesional para evadir filtros antispam.
### Técnicas, Tácticas y Procedimientos (TTP) – MITRE ATT&CK
– **T1566.001 (Phishing: Spearphishing Attachment)**
– **T1589 (Gather Victim Identity Information)**
– **T1192 (Spearphishing Link)**
– **T1110.003 (Credential Stuffing)**
Los atacantes emplean plantillas HTML de alta calidad que replican los portales de login de Google, incluyendo imágenes y textos adaptados a cada marca. Además, se han detectado enlaces maliciosos acortados y servidores de Command & Control (C2) alojados en servicios en la nube para dificultar el rastreo.
### Indicadores de Compromiso (IoC)
– Dominios similares a los originales: adobecareers[.]info, netflixjobs[.]support, coca-cola-careers[.]online, openai-recruit[.]site
– Enlaces acortados con servicios como bit.ly y tinyurl
– Servidores de C2 identificados en AWS y Azure
– Errores ortográficos o ligeras variaciones en las firmas de correo
## Impacto y Riesgos
El impacto potencial de esta campaña es considerable. Según estimaciones, más de 5.000 correos han sido enviados en la primera semana, con una tasa de éxito estimada del 8%. Las credenciales robadas pueden emplearse para:
– Acceso no autorizado a cuentas corporativas de Google Workspace
– Robo de información confidencial y propiedad intelectual
– Uso de cuentas comprometidas para lanzar ataques internos (lateral movement)
– Exposición a ataques de Business Email Compromise (BEC)
– Incumplimiento de regulaciones como GDPR y NIS2, con riesgos legales y sanciones económicas que pueden superar los 20 millones de euros o el 4% de la facturación anual global
## Medidas de Mitigación y Recomendaciones
Para mitigar el riesgo asociado a esta campaña, los expertos recomiendan:
– Activar la autenticación multifactor (MFA) en todas las cuentas de Google Workspace y servicios críticos
– Implementar filtros avanzados de phishing en gateways de correo electrónico
– Realizar campañas de concienciación y simulaciones de phishing dirigidas a personal de marketing y RRHH
– Verificar siempre la legitimidad de las ofertas de empleo y los dominios de correo
– Monitorizar logs de acceso y alertar ante intentos de login inusuales
– Reportar dominios sospechosos a los proveedores de servicios y a las autoridades competentes (INCIBE, ENISA)
## Opinión de Expertos
David Sánchez, analista de amenazas en una multinacional del sector financiero, comenta: “El uso de marcas reconocidas y procesos de selección laborales supone un vector de ataque especialmente eficaz, dado el elevado volumen de candidaturas y la presión por responder rápidamente. La sofisticación de las páginas de phishing, junto con el uso de dominios typosquatted y C2 cloud-based, dificulta enormemente la detección temprana”.
Por su parte, Ana Romero, CISO en una consultora tecnológica española, subraya: “Las empresas deben reforzar sus políticas de Zero Trust y segmentación de accesos, especialmente en departamentos susceptibles al spear phishing. La formación continua y la automatización de respuestas ante incidentes son la mejor defensa ante campañas como ésta”.
## Implicaciones para Empresas y Usuarios
El éxito de esta campaña pone de manifiesto la urgencia de adoptar un enfoque de defensa en profundidad. La exposición de cuentas de Google puede derivar en accesos no autorizados a Drive, Calendar, Gmail y otros servicios, facilitando el movimiento lateral y la escalada de privilegios dentro del ecosistema corporativo. Además, la explotación de cuentas comprometidas para enviar correos internos o externos incrementa el riesgo de ataques BEC y el daño reputacional.
Las organizaciones deben revisar sus procesos de onboarding y validar la autenticidad de las comunicaciones con candidatos y empleados, documentando procedimientos internos y reforzando la supervisión de los accesos.
## Conclusiones
Esta campaña de phishing dirigida a profesionales del marketing mediante la suplantación de más de 30 marcas demuestra la sofisticación y adaptabilidad de las amenazas actuales. La utilización de técnicas avanzadas de ingeniería social, la personalización de los ataques y el aprovechamiento de debilidades humanas requieren una respuesta proactiva y coordinada entre departamentos de TI, seguridad y recursos humanos. El refuerzo de la autenticación, la concienciación y la monitorización continua son claves para minimizar el impacto de este tipo de amenazas.
(Fuente: www.bleepingcomputer.com)
