Tradicionalmente,
las
ciberestafas
basadas
en
phishing
se
basan
más
en
la
ingeniería
social
(es
decir,
en
manipular
al
usuario)
que
en
aprovecharse
de
complejidades
técnicas.
Pero,
en
ocasiones,
se
descubren
campañas
de
phishing
tan
sofisticadas
que
incluso
son
capaces
de
sortear
(peor
aún,
de
aprovecharse
de)
los
mecanismos
de
seguridad
de
un
gigante
tecnológico
como
Google.
Este
ataque
en
cuestión
ha
sido
desvelado
y
analizado
en
X
por
una
de
sus
víctimas.
Te
explicamos
cómo
funciona,
qué
lo
hace
tan
peligroso
y
cómo
puedes
protegerte.
DRIVE
ESTÁ
LLENO!
Cómo
liberar
espacio
de
Gmail,
Drive
y
Fotos
XTK
Basics
¿Qué
ocurrió?
Una
campaña
de
phishing
disfrazada
de
Google
Todo
comenzó
cuando
múltiples
usuarios
comenzaron
a
recibir
correos
electrónicos
que
aparentaban
provenir
de
no-reply@accounts.google.com,
una
dirección
real
y
completamente
legítima
de
Google.
Los
mensajes
alertaban
sobre
una
supuesta
solicitud
de
seguridad,
e
incluían
enlaces
a
páginas
de
soporte
con
apariencia
oficial.
Lo
más
desconcertante
es
que
estos
correos
pasaban
todas
los
mecanismos
de
verificación
de
seguridad
de
Gmail,
incluyendo
SPF,
DKIM
y
DMARC.
Esto
les
permitió
llegar
a
las
bandejas
de
entrada
de
sus
víctimas
sin
alertas
ni
advertencias,
incluso
agrupándose
junto
a
mensajes
auténticos
de
seguridad
enviados
por
Google.
El
arma
secreta: ‘DKIM
Replay
Attack’
La
clave
de
esta
campaña
radica
en
una
técnica
avanzada
conocida
como
ataque
de
reproducción
DKIM,
que
aprovecha
una
debilidad
en
cómo
funciona
la
autenticación
de
correos
electrónicos,
y
que
permite
que
los
reenvíos
de
un
mensaje
legítimo
sigan
siendo
detectados
como
legítimos.
¿Qué
es
DKIM?
DKIM
(DomainKeys
Identified
Mail)
es
un
sistema
de
seguridad
que
añade
una
especie
de «firma
digital»
al
contenido
del
correo.
Esta
firma
sirve
para
demostrar
al
servidor
de
destino
que
el
mensaje
fue
realmente
enviado
desde
un
dominio
autorizado
(como
google.com)
y
que
no
fue
modificado
en
tránsito.
¿Cómo
se
explota
DKIM
en
este
caso?
-
Captura
de
un
correo
legítimo:
El
atacante
obtiene
un
correo
genuino
enviado
por
Google
a
través
de ‘no-reply@accounts.google.com‘. -
Reenvío
del
mensaje
sin
alterar
la
firma:
Como
DKIM
solo
verifica
que
el
contenido
del
mensaje
no
haya
sido
modificado,
pero
no
controla
desde
qué
servidor
se
reenvía
ni
quién
lo
reenvía,
los
atacantes
pueden
tomar
un
correo
legítimo
(como
una
alerta
real
de
Google)
y
reenviarlo
a
otras
personas.
La
firma
DKIM
seguirá
siendo
válida,
por
lo
que
el
mensaje
parecerá
completamente
auténtico
a
los
ojos
de
Gmail
y
otros
servicios
de
correo. -
Uso
de
plataformas
intermediarias:
Para
ocultar
el
rastro,
los
ciberdelincuentes
reenvían
el
mensaje
usando
servicios
intermedios
como
Outlook,
Jellyfish
SMTP
y
Namecheap
PrivateEmail.
Este
último
permite
modificar
el
campo «Desde»
a
gusto
del
atacante. -
Resultado
final:
El
correo
llega
al
destinatario
final
pasando
todas
las
validaciones
(SPF,
DKIM,
DMARC),
pero
con
un
contenido
falso
que
solicita
acciones
urgentes
como
cargar
documentos
o
iniciar
sesión.
La
trampa
final:
Google
Sites
como
plataforma
de
engaño
Uno
de
los
factores
más
alarmantes
es
el
uso
de
Google
Sites
como
herramienta
para
alojar
páginas
falsas
que
imitan
a
la
perfección
los
portales
de
soporte
de
Google.
Los
usuarios,
al
ver
que
el
enlace
lleva
a
un
subdominio
de ‘google.com’,
bajan
la
guardia.
Estas
páginas
pueden
contener
formularios
para
cargar
documentos,
botones
falsos
de «ver
caso»
y
pantallas
de
inicio
de
sesión
diseñadas
para
robar
credenciales:
La
vulnerabilidad
se
agrava
porque
Google
Sites
permite
incrustar
elementos
interactivos
como
formularios
y
scripts,
sin
ofrecer
una
vía
clara
para
denunciar
contenido
malicioso.
El
truco
del «me@dominio.com«:
cómo
se
engaña
a
Gmail
Uno
de
los
aspectos
más
ingeniosos
del
ataque
fue
el
uso
de
cuentas
de
Google
con
nombres
como «me@dominio.com«.
Al
reenviar
el
correo
generado
automáticamente
por
Google
como
alerta
de
seguridad
OAuth,
este
aparece
en
la
bandeja
del
usuario
como
si
fuera
una
alerta
personalizada
para «me«
(‘yo’,
en
inglés),
una
pequeña
manipulación
del
lenguaje
visual
que
genera
una
falsa
sensación
de
autenticidad.
Además,
los
atacantes
abusaron
de
la
función
de
nombre
de
aplicación
en
el
proceso
de
autenticación
OAuth,
llenándolo
con
todo
el
texto
del
mensaje
falso.
Esto
les
permitió
generar
alertas
con
contenido
personalizado
que
parecen
redactadas
por
Google,
cuando
en
realidad
son
completamente
ficticias.
¿Cómo
detectar
este
tipo
de
fraudes?
Los
fraudes
de
phishing
han
evolucionado.
Ya
no
dependen
de
errores
ortográficos
ni
direcciones
sospechosas.
Ahora
se
camuflan
perfectamente
entre
comunicaciones
legítimas.
Aquí
algunas
señales
de
alerta:
-
Enlaces
sospechosos
a
subdominios
como ‘sites.google.com’
en
lugar
de ‘accounts.google.com’. -
Correos
electrónicos
inesperados
que
nos
exigen
acciones
inmediatas. -
Mensajes
que,
aunque
parecen
legítimos,
provienen
de
cadenas
de
reenvío
inusuales. -
Solicitudes
para
subir
documentos
o
iniciar
sesión
fuera
del
contexto
habitual.
Recomendaciones
de
seguridad
-
No
hagas
clic
en
enlaces
de
correos
sospechosos,
incluso
si
parecen
legítimos. -
Verifica
siempre
la
URL
de
las
páginas
a
las
que
accedes. -
Habilita
la
verificación
en
dos
pasos
en
tu
cuenta
de
Google. -
Si
eres
profesional,
usa
un ‘sandbox’.
¿Qué
dice
Google?
Inicialmente,
Google
no
consideró
esta
vulnerabilidad
como
un
problema
de
seguridad,
indicando
que «funcionaba
como
se
esperaba».
Sin
embargo,
tras
la
presión
pública
y
reportes
detallados,
ha
reconsiderado
su
postura
y
prometido
corregir
la
explotación
del
sistema
OAuth.
Imagen
|
Marcos
Merino
mediante
IA
