Una creciente campaña de phishing, que emplea notificaciones genuinas de Google para engañar a usuarios y obtener sus credenciales, ha generado alarma en los sectores tecnológico y empresarial. Expertos en seguridad digital de Kaspersky advierten que ciberdelincuentes están usando Google Tasks, la herramienta de gestión de tareas de Google, para distribuir mensajes que aparentan ser comunicaciones internas, dificultando su detección por los sistemas de seguridad tradicionales.
La estrategia se basa en aprovechar la confianza depositada en plataformas oficiales y en los dominios de grandes proveedores tecnológicos, utilizando notificaciones legítimas de la cuenta @google.com para sortear filtros y engañar a los usuarios. La campaña envía correos con el asunto “You have a new task” (“Tienes una nueva tarea”), simulando que la empresa ha implementado Google Tasks para gestionar actividades internas. Estos mensajes, que aparentan urgencia mediante indicadores de alta prioridad y plazos ajustados, buscan inducir una respuesta rápida sin verificación previa.
Al hacer clic en el enlace, la víctima es redirigida a un formulario falso de “verificación de empleado” donde se solicita ingresar credenciales corporativas, lo que permite a los cibercriminales acceder a información confidencial. La legitimidad del dominio y la procedencia de las notificaciones dificultan la detección por parte de los sistemas de seguridad, además de que la presión psicológica aumenta la probabilidad de que el usuario actúe sin precaución.
Este método de robo de credenciales puede derivar en graves incidentes, como accesos no autorizados a cuentas de correo, robo de datos sensibles, despliegue de ransomware y fraudes financieros. Una sola cuenta comprometida puede facilitar movimientos laterales en las redes corporativas, escalar privilegios y mantener la presencia del atacante durante semanas.
Las consecuencias van más allá del daño operativo, pudiendo acarrear sanciones regulatorias, pérdidas económicas y daños a la reputación de la organización, especialmente si se vulneran datos de clientes o información estratégica. La mayor preocupación radica en que esta modalidad no requiere malware ni exploits sofisticados; basta con confiar en la autenticidad de notificaciones legítimas, lo que representa un salto en la ingeniería social.
María Isabel Manjarrez, investigadora de Kaspersky, explica que el problema ya no está solo en enlaces maliciosos, sino en la confianza excesiva en infraestructuras de grandes proveedores tecnológicos. Por ello, expertos en ciberseguridad recomiendan mantener una actitud vigilante y proactiva: desconfíe de notificaciones de dominios legítimos si provienen de fuentes o solicitudes inusuales, confirme cualquier tarea enviada por los sistemas internos, verifique cuidadosamente los enlaces antes de ingresar datos confidenciales y asegure la activación del doble factor de autenticación en todas las cuentas.
Asimismo, se recomienda implementar soluciones avanzadas de seguridad para correos electrónicos y entornos corporativos que puedan detectar comportamientos anómalos en tiempo real. La sofisticación de estas campañas evidencia que la confianza en los sistemas oficiales no es suficiente; la vigilancia constante, la educación en ciberseguridad y la protección tecnológica son esenciales para contrarrestar amenazas cada vez más elaboradas.
