AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberdelincuentes aprovechan notificaciones de Google Tasks para campañas de phishing avanzadas**

admin

### 1. Introducción

En las últimas semanas, analistas de ciberseguridad han detectado una nueva oleada de campañas de phishing que explotan las notificaciones legítimas de Google Tasks. Este vector emergente está siendo utilizado por actores maliciosos para evadir filtros de correo electrónico y medidas tradicionales de protección, comprometiendo la seguridad tanto de empresas como de usuarios individuales. El uso de servicios legítimos como Google Tasks supone un reto adicional para los equipos de defensa, ya que aumenta la dificultad de identificar y bloquear estos ataques sin afectar la operativa normal.

### 2. Contexto del Incidente o Vulnerabilidad

Google Tasks, integrado en el ecosistema de Google Workspace, permite a los usuarios gestionar listas de tareas y recibir notificaciones por correo electrónico. Los atacantes han identificado que estas notificaciones pueden ser manipuladas para incluir enlaces maliciosos, aprovechando la reputación y legitimidad de los dominios de Google para aumentar la tasa de éxito de sus campañas de phishing.

A diferencia de los tradicionales correos de phishing, que suelen provenir de dominios dudosos o poco fiables, estas notificaciones se envían desde direcciones legítimas de Google (por ejemplo, `tasks@google.com`), lo que dificulta su detección mediante reglas convencionales de filtrado. Este método ha sido observado en campañas dirigidas tanto a usuarios individuales como a organizaciones, con especial incidencia en empresas que utilizan Google Workspace.

### 3. Detalles Técnicos

#### CVE y Vectores de Ataque

Hasta el momento, no se ha asignado un CVE específico a esta técnica, ya que explota una funcionalidad legítima y no una vulnerabilidad de software en sí misma. El vector de ataque se basa en la creación de tareas en Google Tasks que contienen enlaces maliciosos, los cuales son posteriormente enviados como notificaciones a las víctimas.

#### TTP (Tactics, Techniques and Procedures)

Según la matriz MITRE ATT&CK, esta técnica se alinea principalmente con:

– **T1566.001 – Phishing: Spearphishing Attachment**
– **T1566.002 – Phishing: Spearphishing Link**
– **T1192 – Spearphishing Link**

Los atacantes crean tareas de Google que incluyen enlaces a sitios de phishing alojados en servidores comprometidos o servicios de almacenamiento legítimos (como Google Sites o Dropbox). Una vez creada la tarea, invitan a la víctima o la asignan en Google Tasks, lo que desencadena una notificación legítima vía correo electrónico.

#### Indicadores de Compromiso (IoC)

– Correos electrónicos provenientes de `tasks@google.com` con enlaces sospechosos.
– URLs que redirigen a sitios de phishing tras pasar por dominios legítimos de Google.
– Flujos inusuales de creación de tareas compartidas fuera de los patrones habituales de la organización.

#### Herramientas y Frameworks

No se han detectado exploits automatizados conocidos en frameworks como Metasploit para esta técnica, pero sí se han observado scripts personalizados y playbooks de automatización en Python para la generación masiva de tareas y envío de notificaciones.

### 4. Impacto y Riesgos

El principal riesgo reside en la elevada tasa de entrega y apertura de estos correos, dado que provienen de un dominio de confianza. Se han reportado tasas de clics hasta un 70% superiores respecto a campañas de phishing tradicionales. Las consecuencias incluyen:

– Robo de credenciales corporativas y personales.
– Acceso no autorizado a información confidencial.
– Movimientos laterales dentro de la red corporativa.
– Incidentes de Business Email Compromise (BEC).

Según estimaciones de Kaspersky, campañas similares han generado pérdidas superiores a 2,3 millones de euros solo en el primer trimestre de 2024. Además, el uso de servicios en la nube complica la trazabilidad y la respuesta ante incidentes.

### 5. Medidas de Mitigación y Recomendaciones

– **Configuración de filtros avanzados**: Ajustar las reglas de los gateways de correo para analizar el contenido de notificaciones legítimas y detectar patrones anómalos en los enlaces.
– **Concienciación y formación**: Refrescar las campañas internas de concienciación para alertar sobre la posibilidad de recibir phishing desde servicios legítimos como Google Tasks.
– **Monitorización de actividad**: Integrar alertas en SIEMs para detectar creación masiva de tareas compartidas o notificaciones inusuales.
– **Políticas de acceso restringido**: Limitar la capacidad de compartir tareas fuera del dominio corporativo, especialmente en entornos Google Workspace.
– **Uso de MFA**: Reforzar la autenticación multifactor como barrera adicional ante el compromiso de credenciales.
– **Respuesta a incidentes**: Preparar playbooks específicos para ataques que abusan de servicios cloud legítimos.

### 6. Opinión de Expertos

Especialistas como Dmitry Galov, investigador senior en Kaspersky, advierten que “el abuso de servicios cloud legítimos para eludir los filtros tradicionales de phishing representa una tendencia creciente y preocupante”. Por su parte, la consultora ENISA recomienda revisar periódicamente las configuraciones de los servicios cloud y auditar los flujos de notificación y compartición de tareas.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones sujetas a normativas como el RGPD o la próxima NIS2, este tipo de incidentes puede suponer brechas de datos notables, con el consiguiente riesgo de sanciones económicas y daño reputacional. En entornos corporativos, el uso intensivo de soluciones colaborativas en la nube amplifica la superficie de ataque y exige un enfoque de seguridad cero confianza (“Zero Trust”).

Para los usuarios, la principal recomendación es extremar la precaución ante cualquier notificación inesperada, incluso si proviene de fuentes legítimas, y verificar siempre la autenticidad de los enlaces antes de hacer clic.

### 8. Conclusiones

El uso de notificaciones de Google Tasks para propagar campañas de phishing pone de manifiesto la necesidad de adaptar las estrategias de defensa a los nuevos métodos de abuso de servicios cloud legítimos. La combinación de ingeniería social y explotación de la confianza en plataformas ampliamente utilizadas supone un desafío que las empresas deben afrontar mediante tecnología, formación y una revisión continua de sus políticas de seguridad.

(Fuente: www.kaspersky.com)