**Ciberdelincuentes abusan de Google AppSheet para sofisticadas campañas de phishing empresarial**
—
### 1. Introducción
En los últimos meses, se ha detectado una tendencia creciente en el uso malicioso de servicios legítimos en la nube para facilitar ataques de phishing cada vez más difíciles de detectar. Uno de los casos más recientes y preocupantes es la explotación de Google AppSheet, una plataforma low-code para desarrollo de aplicaciones, como vector principal en campañas de suplantación de identidad dirigidas a grandes organizaciones y sus clientes. Se trata de una amenaza con profundas implicaciones para la seguridad corporativa y la protección de datos personales, en un contexto donde la confianza en los servicios cloud es clave para la continuidad del negocio.
—
### 2. Contexto del Incidente
El abuso de Google AppSheet se enmarca en la tendencia de los atacantes a utilizar infraestructuras legítimas para evadir controles de seguridad tradicionales y listas negras. AppSheet, propiedad de Google desde 2020, permite a empresas y usuarios crear aplicaciones web y móviles sin necesidad de programación avanzada. Los ciberdelincuentes están aprovechando la reputación y los dominios de confianza de Google para lanzar campañas de phishing a gran escala, enviando correos electrónicos que simulan provenir de entidades reconocidas —como bancos, plataformas de ecommerce o servicios tecnológicos— con el objetivo de robar credenciales corporativas y personales.
—
### 3. Detalles Técnicos
#### Vectores de Ataque y Tácticas
Los atacantes crean aplicaciones fraudulentas en AppSheet, generando URLs bajo el dominio legítimo *.appsheet.com. A través de estas aplicaciones, diseñan páginas de inicio de sesión falsas que imitan portales de acceso de empresas populares. Los correos de phishing incluyen enlaces directos a estas URLs, dificultando su identificación como maliciosas tanto por los filtros automáticos como por los propios usuarios.
– **CVE y Exploits**: Hasta la fecha, no se ha asignado un CVE específico a esta técnica, ya que explota funcionalidades legítimas, no vulnerabilidades técnicas del servicio.
– **Frameworks y Herramientas**: Se ha observado el uso de kits de phishing comerciales y, en algunos casos, la integración de herramientas como Evilginx2 para capturar tokens de autenticación y evadir MFA.
– **TTPs (MITRE ATT&CK)**:
– T1566.002 (Spearphishing via Link)
– T1204 (User Execution)
– T1078 (Valid Accounts)
– **IoCs**: URLs bajo el dominio *.appsheet.com, especialmente aquellas con rutas no asociadas a aplicaciones corporativas conocidas; direcciones de correo con patrones de suplantación; y registros de acceso a aplicaciones no autorizadas.
—
### 4. Impacto y Riesgos
El impacto potencial de este tipo de campañas es significativo:
– **Compromiso de credenciales sensibles**: Acceso a cuentas corporativas, correo electrónico, sistemas de gestión y plataformas financieras.
– **Evasión de controles**: El uso de dominios de Google dificulta la detección por parte de gateways y sistemas de filtrado de correo.
– **Riesgo de escalada**: Una vez obtenidas las credenciales, los atacantes pueden realizar movimientos laterales y acceder a información crítica o lanzar ataques de ransomware.
– **Afectación estadística**: Según informes recientes, el 17% de los ataques de phishing en 2024 han involucrado servicios cloud legítimos, con pérdidas medias superiores a 4,2 millones de euros por incidente en grandes organizaciones.
—
### 5. Medidas de Mitigación y Recomendaciones
Para protegerse frente a esta amenaza, los expertos recomiendan:
– **Filtrado avanzado**: Actualizar las reglas de los gateways de correo para analizar URLs de servicios cloud y bloquear accesos a aplicaciones no autorizadas.
– **Educación y concienciación**: Formación continua a empleados sobre las nuevas técnicas de suplantación utilizando dominios legítimos.
– **Implementar MFA robusto**: Usar autenticación multifactor resistente a ataques de proxy (FIDO2, aplicaciones hardware).
– **Monitorización y threat hunting**: Vigilancia activa de logs y análisis de tráfico hacia dominios de AppSheet no reconocidos.
– **Políticas Zero Trust**: Restringir el acceso a aplicaciones y servicios SaaS según criterios de necesidad y reputación.
—
### 6. Opinión de Expertos
Analistas de amenazas del sector coinciden en señalar que “el uso de infraestructuras cloud legítimas representa una de las amenazas más insidiosas de 2024, ya que explota la confianza depositada en proveedores como Google”. Desde empresas de ciberseguridad como Kaspersky y CrowdStrike se advierte que los controles de seguridad tradicionales, basados en listas negras o reputación de dominio, son insuficientes ante estas técnicas. Recomiendan enfoques de detección basados en comportamiento y análisis de contexto.
—
### 7. Implicaciones para Empresas y Usuarios
La explotación de Google AppSheet para phishing subraya la necesidad de revisar las estrategias de seguridad en torno al uso de SaaS y plataformas cloud. Bajo la normativa europea GDPR y la nueva directiva NIS2, las empresas están obligadas a proteger los datos personales y los sistemas críticos frente a accesos no autorizados, lo que implica un refuerzo en los controles de acceso y la detección temprana de anomalías. Los usuarios, por su parte, deben extremar la precaución ante cualquier mensaje que requiera introducir credenciales, incluso si el enlace parece legítimo.
—
### 8. Conclusiones
El abuso de Google AppSheet en campañas de phishing marca un salto cualitativo en las tácticas de los actores de amenazas, poniendo en jaque las defensas tradicionales y obligando a adoptar estrategias de seguridad adaptativas. La vigilancia continua, la educación y la colaboración entre departamentos de TI y seguridad son clave para mitigar este tipo de amenazas. La evolución de los ataques cloud-based exige una actualización constante de políticas, herramientas y procedimientos de respuesta.
(Fuente: www.kaspersky.com)