{"id":30941,"date":"2025-05-20T09:20:23","date_gmt":"2025-05-20T07:20:23","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=30941"},"modified":"2025-05-20T09:20:23","modified_gmt":"2025-05-20T07:20:23","slug":"dkim-replay-attack-through-google-oauth","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/dkim-replay-attack-through-google-oauth\/30941\/","title":{"rendered":"Correo electr\u00f3nico de Google: las autoridades est\u00e1n revisando tu cuenta"},"content":{"rendered":"

Imagina que recibes un correo electr\u00f3nico que dice que Google ha recibido una citaci\u00f3n judicial para revelar el contenido de tu cuenta. El correo electr\u00f3nico parece perfectamente \u201cde Google\u201d, y la direcci\u00f3n del remitente tambi\u00e9n parece leg\u00edtima: no-reply@accounts.google.com<\/em><\/strong>. Un poco desconcertante (\u00bfo, quiz\u00e1s, aterrador?) como m\u00ednimo, \u00bfno es cierto?<\/p>\n

Y qu\u00e9 suerte: el correo electr\u00f3nico contiene un enlace a una p\u00e1gina de asistencia de Google que muestra todos los detalles sobre lo que est\u00e1 ocurriendo. Adem\u00e1s, el nombre de dominio del enlace parece que es leg\u00edtimo y que le pertenece a Google\u2026<\/p>\n

Los lectores frecuentes de nuestro blog probablemente ya habr\u00e1n adivinado que estamos hablando de una nueva estafa de phishing<\/a>. Y tienen raz\u00f3n. Esta vez, los estafadores se aprovechan de varios servicios aut\u00e9nticos de Google para enga\u00f1ar a sus v\u00edctimas y hacer que los correos electr\u00f3nicos se vean lo m\u00e1s convincentes posible. A continuaci\u00f3n, te explicamos c\u00f3mo funciona:<\/p>\n

C\u00f3mo un correo electr\u00f3nico de phishing imita una notificaci\u00f3n oficial de Google<\/h2>\n

La siguiente captura de pantalla muestra el correo electr\u00f3nico que da inicio al ataque. Hace un trabajo realmente cre\u00edble, ya que simula ser una alerta del sistema de seguridad de Google. El mensaje informa al usuario de que la empresa ha recibido una citaci\u00f3n judicial en la que se solicita acceso a los datos de su cuenta de Google.<\/p>\n

\"Correo<\/a>

Correo electr\u00f3nico fraudulento de no-reply@accounts.google.com, que est\u00e1 camuflado como una citaci\u00f3n judicial emitida a Google LLC por una agencia de un cuerpo de seguridad, en la que se exige a Google que presente una copia del contenido de la cuenta de Google del usuario. Fuente<\/a>.<\/p><\/div>\n

El campo \u201cde<\/strong>\u201d contiene una direcci\u00f3n aut\u00e9ntica de Google: no-reply@accounts.google.com<\/em><\/strong>. Es exactamente la misma direcci\u00f3n de la que provienen las notificaciones de seguridad de Google. El correo electr\u00f3nico tambi\u00e9n contiene algunos detalles que refuerzan la ilusi\u00f3n de autenticidad: un ID de cuenta de Google, un n\u00famero de ticket de asistencia y un enlace que dirige al caso. Adem\u00e1s, y esto es lo m\u00e1s importante, el correo electr\u00f3nico le indica al destinatario que, si desea obtener m\u00e1s informaci\u00f3n sobre los materiales del caso o impugnar la citaci\u00f3n, puede acceder a ellos haciendo clic en un enlace.<\/p>\n

El enlace en s\u00ed tambi\u00e9n parece bastante cre\u00edble. La direcci\u00f3n incluye el dominio oficial de Google y el n\u00famero del ticket de asistencia que se mencion\u00f3 anteriormente. Y hace falta ser un usuario avispado para darse cuenta del truco: las p\u00e1ginas de asistencia de Google se encuentran en support.google.com<\/em><\/strong>, pero este enlace te dirige a sites.google.com<\/em><\/strong>. Est\u00e1 claro que los estafadores conf\u00edan en que los usuarios no entiendan estos tecnicismos o no se den cuenta de la sustituci\u00f3n de palabras.<\/p>\n

Si el usuario no ha iniciado sesi\u00f3n, cuando hace clic en el enlace, accede a una p\u00e1gina de inicio de sesi\u00f3n de una cuenta de Google aut\u00e9ntica. Despu\u00e9s de dar su autorizaci\u00f3n, el usuario llega a una p\u00e1gina en sites.google.com<\/em><\/strong>, que imita de forma bastante convincente el sitio oficial de asistencia de Google.<\/p>\n

\"P\u00e1gina<\/a>

As\u00ed es como se ve una p\u00e1gina falsa de asistencia de Google que aparece enlazada en el correo electr\u00f3nico. Fuente<\/a>.<\/p><\/div>\n

Ahora bien, resulta que el dominio sites.google.com<\/em><\/strong> pertenece al verdadero servicio de Google Sites<\/a>. Este servicio, lanzado en 2008, es un creador de sitios web poco sofisticado: nada fuera de lo com\u00fan. El matiz importante de Google Sites es que todos los sitios web creados dentro de la plataforma se alojan autom\u00e1ticamente en un subdominio de google.com<\/em>: sites.google.com<\/em><\/strong>.<\/p>\n

Los atacantes pueden usar dicha direcci\u00f3n tanto para bajar la guardia de las v\u00edctimas como para burlar diversos sistemas de seguridad, ya que tanto los usuarios como las soluciones de seguridad tienden a confiar en el dominio de Google. Por eso, no resulta extra\u00f1o que los estafadores utilicen cada vez m\u00e1s Google Sites para crear p\u00e1ginas de phishing<\/a>.<\/p>\n

C\u00f3mo detectar mensajes falsos: el diablo est\u00e1 en los detalles (del correo electr\u00f3nico)<\/h2>\n

Ya hemos descrito el primer indicio de un correo electr\u00f3nico sospechoso: la direcci\u00f3n de la p\u00e1gina de asistencia falsa en sites.google.com<\/em><\/strong>.<\/em> Mira el encabezado del correo electr\u00f3nico para reconocer m\u00e1s se\u00f1ales de alarma:<\/p>\n

Phishing camuflado como correo electr\u00f3nico oficial de Google: observa los campos \"para\" y \"enviado por\"<\/a>

Detecta la falsificaci\u00f3n: mira los campos \u201cpara\u201d y \u201cenviado por\u201d en el encabezado. Fuente<\/a>.<\/p><\/div>\n

Los campos a los que hay que prestar atenci\u00f3n son \u201cde<\/strong>\u201c, \u201cpara<\/strong>\u201d y \u201cenviado por<\/strong>\u201c. El campo \u201cde<\/strong>\u201d parece correcto: el remitente es no-reply@accounts.google.com<\/em><\/strong>, la direcci\u00f3n de correo electr\u00f3nico oficial de Google.<\/p>\n

Pero he aqu\u00ed que el campo \u201cpara\u201d<\/strong>, justo debajo, revela la direcci\u00f3n real del destinatario. Y esta s\u00ed que parece falsa: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong>. La direcci\u00f3n pretende imitar alguna direcci\u00f3n t\u00e9cnica de Google, pero el error de escritura en el nombre de dominio de la empresa la delata por completo. Adem\u00e1s, no tiene ning\u00fan sentido que est\u00e9 ah\u00ed: se supone que este campo debe contener el correo electr\u00f3nico del destinatario.<\/p>\n

Mientras seguimos examinando el encabezado, aparece otra direcci\u00f3n sospechosa en el campo \u201cenviado por<\/strong>\u201c. Ahora est\u00e1 claro que no se encuentra en el territorio de Google: fwd-04-1.fwd.privateemail[.]com<\/strong>. Una vez m\u00e1s, semejante disparate no puede figurar en un correo electr\u00f3nico aut\u00e9ntico. A modo de referencia, te mostramos a continuaci\u00f3n c\u00f3mo son estos campos en una alerta de seguridad de Google real:<\/p>\n

\"Alerta<\/a>

Los campos \u201cpara\u201d y \u201cenviado por\u201d en una alerta de seguridad de Google verdadera<\/p><\/div>\n

Como era de esperar, estos indicios sutiles probablemente pasar\u00edan desapercibidos para el usuario promedio, especialmente cuando ya ha entrado en p\u00e1nico por los inminentes problemas legales. A toda esta confusi\u00f3n, se suma el hecho de que el correo electr\u00f3nico falso est\u00e1 firmado por Google: en el campo \u201cfirmado por<\/strong>\u201c, aparece accounts.google.com<\/em><\/strong>. En la siguiente parte de esta publicaci\u00f3n, explicaremos c\u00f3mo los delincuentes lograron su prop\u00f3sito y, a continuaci\u00f3n, hablaremos de c\u00f3mo puedes evitar convertirte en una v\u00edctima.<\/p>\n

Reconstrucci\u00f3n del ataque paso a paso<\/h2>\n

Para averiguar exactamente c\u00f3mo los estafadores lograron enviar un correo electr\u00f3nico de este tipo y qu\u00e9 era lo que buscaban, un grupo de investigadores de ciberseguridad recre\u00f3 el ataque<\/a>. Su investigaci\u00f3n revel\u00f3 que los atacantes utilizaron Namecheap para registrar el dominio googl-mail-smtp-out-198-142-125-38-prod[.]net<\/em><\/strong> (que ya ha sido revocado).<\/p>\n

Posteriormente, volvieron a utilizar el mismo servicio para crear una cuenta de correo electr\u00f3nico gratuita en este dominio: me[@]googl-mail-smtp-out-198-142-125-38-prod[.]net<\/strong>. Adem\u00e1s, los delincuentes registraron una versi\u00f3n de prueba gratuita de Google Workspace en el mismo dominio. Despu\u00e9s de eso, los estafadores registraron su propia aplicaci\u00f3n web en el sistema OAuth de Google y le otorgaron acceso a su cuenta de Google Workspace.<\/p>\n

OAuth de Google es una tecnolog\u00eda que permite a las aplicaciones web de terceros utilizar los datos de la cuenta de Google para autenticar a los usuarios<\/a> con su permiso. Es probable que te hayas encontrado con OAuth de Google como forma de autenticaci\u00f3n para servicios de terceros: es el sistema que usas cada vez que haces clic en el bot\u00f3n de \u201cIniciar sesi\u00f3n con Google\u201d. Adem\u00e1s, las aplicaciones pueden utilizar OAuth de Google para obtener permiso y, por ejemplo, guardar archivos en Google Drive.<\/p>\n

Pero sigamos analizando a los estafadores. Una vez que se registra una aplicaci\u00f3n en OAuth de Google, el servicio permite enviar una notificaci\u00f3n a la direcci\u00f3n de correo electr\u00f3nico que se asoci\u00f3 al dominio verificado. Curiosamente, el administrador de la aplicaci\u00f3n web puede introducir manualmente cualquier texto, como el \u201cNombre de la aplicaci\u00f3n\u201d, que parece ser lo que aprovecharon los delincuentes.<\/p>\n

En la captura de pantalla que se muestra a continuaci\u00f3n, los investigadores lo demuestran con el registro de una aplicaci\u00f3n con el nombre \u201cCualquier texto de correo electr\u00f3nico de phishing se inyecta aqu\u00ed con las URL de phishing\u2026\u201d.<\/p>\n

\"OAuth<\/a>

Registro de una aplicaci\u00f3n web con un nombre arbitrario en OAuth de Google: se puede introducir como nombre el texto de un correo electr\u00f3nico fraudulento con un enlace de phishing. Fuente<\/a>.<\/p><\/div>\n

Google luego env\u00eda una alerta de seguridad que contiene este texto de phishing desde su direcci\u00f3n oficial. Este mensaje va a la direcci\u00f3n de correo electr\u00f3nico de los estafadores en el dominio registrado a trav\u00e9s de Namecheap. El servicio permite reenviar la notificaci\u00f3n recibida de Google a cualquier direcci\u00f3n. Lo \u00fanico que hay que hacer es configurar una regla de reenv\u00edo espec\u00edfica y precisar las direcciones de correo electr\u00f3nico de las posibles v\u00edctimas.<\/p>\n

\"C\u00f3mo<\/a>

Configuraci\u00f3n de una regla de reenv\u00edo que permite enviar el correo electr\u00f3nico falso a varios destinatarios. Fuente<\/a>.<\/p><\/div>\n

C\u00f3mo protegerte de ataques de phishing como el de este caso<\/h2>\n

No est\u00e1 del todo claro qu\u00e9 esperaban conseguir los atacantes con esta campa\u00f1a de phishing. El uso de OAuth de Google para llevar a cabo la autenticaci\u00f3n no significa que las credenciales de la cuenta de Google de la v\u00edctima se compartan con los estafadores. El proceso genera un token que solo proporciona acceso limitado a los datos de la cuenta del usuario, seg\u00fan los permisos que este haya autorizado y de la configuraci\u00f3n establecida por los estafadores.<\/p>\n

La p\u00e1gina falsa de asistencia de Google a la que llega el usuario enga\u00f1ado sugiere que el objetivo es convencerlo de que descargue unos \u201cdocumentos legales\u201d que supuestamente est\u00e1n relacionados con su caso. Se desconoce la naturaleza de estos documentos, pero lo m\u00e1s probable es que contuvieran c\u00f3digo malicioso.<\/p>\n

Los investigadores notificaron esta campa\u00f1a de phishing a Google. La empresa reconoci\u00f3 que se trataba de un riesgo potencial<\/a> para los usuarios, y est\u00e1 trabajando para encontrar una soluci\u00f3n a la vulnerabilidad de OAuth. Sin embargo, a\u00fan se desconoce cu\u00e1nto tiempo se tardar\u00e1 en resolver el problema.<\/p>\n

Mientras tanto, te dejamos algunos consejos a continuaci\u00f3n para que evites ser v\u00edctima de esta y otras elaboradas estafas de phishing.<\/p>\n