{"id":32182,"date":"2026-06-05T14:30:26","date_gmt":"2026-06-05T12:30:26","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=32182"},"modified":"2026-06-05T14:30:26","modified_gmt":"2026-06-05T12:30:26","slug":"appsheet-phishing-emails","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/appsheet-phishing-emails\/32182\/","title":{"rendered":"Atacantes que disfrazan el phishing como notificaciones de AppSheet de Google"},"content":{"rendered":"

Las campa\u00f1as de phishing se han vuelto significativamente m\u00e1s complejas y convincentes en los \u00faltimos a\u00f1os. Las direcciones de los remitentes ahora son casi id\u00e9nticas a las reales, los correos electr\u00f3nicos est\u00e1n escritos sin errores y usan el nombre de los usuarios. Pero \u00bfqu\u00e9 se hace cuando un correo electr\u00f3nico sospechoso proviene de una direcci\u00f3n de correo electr\u00f3nico que es claramente leg\u00edtima?<\/p>\n

\u00daltimamente, los autores de phishing han estado utilizando la plataforma de AppSheet de Google para programar env\u00edos masivos de correos electr\u00f3nicos que provienen de una direcci\u00f3n oficial vinculada a Google. Despu\u00e9s de un ataque exitoso, se llevan las cuentas y la informaci\u00f3n confidencial de sus v\u00edctimas.<\/p>\n

En esta publicaci\u00f3n, desglosamos c\u00f3mo funciona este nuevo esquema de robo de datos y c\u00f3mo protegerte de estos astutos ataques de phishing.<\/p>\n

Google te ofrece un trabajo. O Coca-Cola. O quiz\u00e1s Volvo. Pero \u00bfes real?<\/h2>\n

AppSheet es un servicio de Google para crear aplicaciones sin contar con conocimientos de codificaci\u00f3n. Las peque\u00f1as empresas lo utilizan con frecuencia para automatizar flujos de trabajo de rutina. Por desgracia, es esta sencillez lo que hace que AppSheet sea tan atractivo para los ciberdelincuentes. Todo lo que se necesita para llevar a cabo una estafa de phishing hoy en d\u00eda son unos pocos euros<\/a> y una aplicaci\u00f3n improvisada con comandos y bloques prefabricados.<\/p>\n

El manual de estrategias para los ataques de phishing en AppSheet es bastante com\u00fan y corriente. La v\u00edctima recibe un correo electr\u00f3nico de parte de una empresa importante. Estos mensajes a menudo comienzan dirigi\u00e9ndose al destinatario por su nombre. Pareciera que los atacantes est\u00e1n analizando datos filtrados para hacer coincidir los nombres con direcciones de correo electr\u00f3nico espec\u00edficas.<\/p>\n

Luego, los atacantes apelan a las emociones del destinatario, recurriendo ya sea a la amenaza o a la recompensa. Puede que asusten a la v\u00edctima con advertencias urgentes que necesitan una acci\u00f3n inmediata (por ejemplo, \u201cSu cuenta se desactivar\u00e1 pronto\u201d o \u201cSe detect\u00f3 actividad sospechosa\u201d). O bien, la atraen con un cebo irresistible, como prometer una insignia de verificaci\u00f3n o una invitaci\u00f3n a una entrevista de un gigante de la tecnolog\u00eda. Estos correos electr\u00f3nicos falsos de RR. HH. est\u00e1n dise\u00f1ados para dar a las v\u00edctimas un subid\u00f3n de adrenalina inmediato. Hacen creer al destinatario que su solicitud ya fue tramitada de forma prioritaria y recibi\u00f3 una evaluaci\u00f3n muy favorable,insinuando que podr\u00eda recibir una oferta de empleo muy pronto.<\/p>\n

Para la mayor\u00eda de las personas, estos mensajes no activan ning\u00fan tipo de alerta. El correo electr\u00f3nico evade por completo la carpeta de spam y el campo De<\/em> muestra el nombre exacto de la empresa que esperan ver. El problema es que nada de esto garantiza que el correo electr\u00f3nico sea aut\u00e9ntico, los atacantes pueden poner lo que quieran en el nombre que se muestra. Y seamos honestos, muy pocas personas se detienen a analizar la direcci\u00f3n de correo electr\u00f3nico del remitente.<\/p>\n

En las campa\u00f1as de phishing basadas en AppSheet, el remitente es siempre el mismo: noreply{@}appsheet.com<\/strong>. Pero aqu\u00ed est\u00e1 la verdadera sorpresa: esa direcci\u00f3n es 100\u00a0% leg\u00edtima. Como se vincula directamente a la propia infraestructura de Google, es muy probable que los filtros antispam est\u00e1ndar den luz verde a estos correos electr\u00f3nicos sin cuestionarlos.<\/p>\n

Naturalmente, para asegurar esa entrevista codiciada o arreglar su cuenta, la v\u00edctima hace clic en el enlace y luego entrega toda su identidad digital por voluntad propia en un sitio web falso: nombre completo, direcci\u00f3n, n\u00famero de tel\u00e9fono, etc. A partir de ah\u00ed, los atacantes pueden vender los datos recopilados en la dark web o convertirlos en armas para ataques secundarios y dirigidos<\/a>. Por si fuera poco, se redirige a la v\u00edctima a una p\u00e1gina de inicio de sesi\u00f3n falsa, lo que permite a los atacantes robarle la cuenta.<\/p>\n

A continuaci\u00f3n, se detalla paso a paso c\u00f3mo una v\u00edctima pasa de recibir un correo falso del portal de empleo de Google a tener su cuenta completamente vulnerada:<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Correo\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\u00a1Saludos, candidato! \u00bfPor qu\u00e9 no haces clic en el enlace a nuestro sitio de Google ficticio para programar una entrevista? \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Un\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tEl enlace del correo electr\u00f3nico conduce a un sitio falso con un dise\u00f1o indistinguible del original. Se le solicita al usuario que rellene un formulario con su nombre completo, correo electr\u00f3nico de trabajo, n\u00famero de tel\u00e9fono y la fecha que prefiere para tener la entrevista. \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Un\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUna vez que la v\u00edctima completa el formulario, ve un mensaje donde se le pide que inicie sesi\u00f3n con sus credenciales de Google. Todos estos datos van directamente a los atacantes.\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

\u00a0<\/p>\n

Tambi\u00e9n se lanzan campa\u00f1as de phishing similares en nombre de otras grandes marcas de tecnolog\u00eda, y los usuarios que introducen sus datos de Apple se arriesgan a perder no solo su cuenta, sino tambi\u00e9n el control de todos sus dispositivos Apple<\/a>. Los atacantes podr\u00edan presionar a la v\u00edctima para que cierre la sesi\u00f3n de su Apple\u00a0ID personal y acceda a una \u201ccuenta corporativa\u201d para su verificaci\u00f3n, que en realidad es una cuenta de Apple de su propiedad. Al hacerlo, los delincuentes toman el control remoto completo del dispositivo usado, y a menudo utilizan el Modo perdido para bloquear el acceso de la v\u00edctima y exigir el pago de un rescate por su tel\u00e9fono.<\/p>\n

Para empeorar las cosas, los atacantes no siempre env\u00edan un enlace malicioso en el primer correo electr\u00f3nico, sino que apuestan al largo plazo: atrapan al objetivo en una conversaci\u00f3n al pedirle que responda y confirme su inter\u00e9s. Este pretexto crea la ilusi\u00f3n de que est\u00e1n hablando con un reclutador real. Y este manual de estrategias tampoco se limita exclusivamente a Silicon Valley. Los atacantes con frecuencia se hacen pasar por marcas conocidas a nivel mundial, como Volvo o Coca-Cola. Por supuesto, es muy poco probable que los atacantes quieran la cuenta de Coca-Cola de alguien, si es que el usuario siquiera tiene una. Lo m\u00e1s probable es que el objetivo sea robar datos confidenciales o convencer al usuario de que inicie sesi\u00f3n en un formulario de phishing con sus credenciales de Google, Apple, Facebook, etc.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Correo\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUn \"miembro del equipo de RR. HH.\" de Coca-Cola se pone en contacto para elogiar a la v\u00edctima y destaca de manera exagerada su experiencia y logros, as\u00ed como su capacidad anal\u00edtica y creatividad. Los atacantes mantienen la finalidad en secreto a prop\u00f3sito, ya sea que eso signifique dirigir a la v\u00edctima hacia un sitio de phishing, tomar el control total de la cuenta o ejecutar una estafa econ\u00f3mica\n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Correo\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tUn correo electr\u00f3nico similar que finge ser del equipo de selecci\u00f3n de talento de Volvo \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

\u00a0<\/p>\n

\u00bfQuieres una verificaci\u00f3n de Meta?<\/h2>\n

Por supuesto, los \u201ctrabajos de ensue\u00f1o\u201d no son el \u00fanico cebo que se utiliza. Hemos visto campa\u00f1as en las que el \u201cSoporte de Facebook\u201d se pone en contacto para decirle a un usuario que cumple con los requisitos para recibir la prestigiosa insignia de Meta Verified, una marca de verificaci\u00f3n azul que suele estar reservada para celebridades de primer nivel y marcas globales. Para obtener la codiciada marca de verificaci\u00f3n azul, la v\u00edctima accede a una p\u00e1gina de phishing donde se le pide que rellene un formulario de identidad antes de entregar el premio principal: su nombre de usuario y contrase\u00f1a de Facebook. Y todo ello, por supuesto, en nombre de la seguridad.<\/p>\n

Estos sitios falsificados est\u00e1n disponibles en una amplia variedad de idiomas y se adaptan a los usuarios de diferentes pa\u00edses. A continuaci\u00f3n se muestra la versi\u00f3n en holand\u00e9s.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Oferta\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPara obtener la marca de verificaci\u00f3n azul, el usuario debe proporcionar \"informaci\u00f3n adicional\". Si te excedes unos d\u00edas de la fecha l\u00edmite, la oferta caducar\u00e1 \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Oferta\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tDespu\u00e9s de que la v\u00edctima rellena los campos habituales (nombre, n\u00famero de tel\u00e9fono, correo electr\u00f3nico personal y de trabajo, y fecha de nacimiento), un mensaje le solicita que introduzca su contrase\u00f1a de Facebook \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

\u00a0<\/p>\n

En otras campa\u00f1as, los atacantes abusan de AppSheet de Google para usar el p\u00e1nico como arma. Intentan inquietar al usuario afirmando que ha violado la pol\u00edtica de propiedad intelectual de Meta y amenazan con cerrar permanentemente su cuenta de Facebook. Para apelar, la v\u00edctima debe hacer clic en un enlace que lleva a un sitio de phishing, proporcionar su informaci\u00f3n personal y, por supuesto, introducir su nombre de usuario y contrase\u00f1a de Facebook.<\/p>\n

\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Sitio\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tEn aras de la credibilidad, no solo se le pide al usuario que complete campos con informaci\u00f3n personal, sino que tambi\u00e9n describa en detalle por qu\u00e9 la decisi\u00f3n de cerrar la cuenta fue un error \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl>
\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\"Sitio\n\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/dt>\n\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\tPor \u00faltimo, se le solicita al usuario que confirme la solicitud de apelaci\u00f3n iniciando sesi\u00f3n en \"Facebook\". En realidad, la v\u00edctima est\u00e1 abiertamente entregando sus credenciales a los atacantes \n\t\t\t\t\t\t\t\t<\/dd>\n\t\t\t\t\t\t\t<\/dl><\/div>\n

C\u00f3mo detectar el phishing y proteger tus cuentas<\/h2>\n

Lamentablemente, los ataques de phishing se est\u00e1n volviendo cada vez m\u00e1s complejos, y los atacantes a menudo se aprovechan de la reputaci\u00f3n de servicios y dominios leg\u00edtimos<\/a>. Aqu\u00ed te indicamos c\u00f3mo evitar caer en sus trampas y proteger tus datos:<\/p>\n