Una nueva ola de ataques utiliza la función de “Integración de Aplicaciones” de Google Cloud para enviar miles de correos fraudulentos desde direcciones legítimas de Google, eludiendo casi todos los filtros de seguridad corporativos.
Empezamos el 2026 con una sofisticada campaña de ingeniería social que ha puesto en jaque a los sistemas de defensa de correo electrónico, actores de amenazas están abusando de una herramienta de automatización legítima dentro de Google Cloud para distribuir phishing a gran escala.
Lo alarmante de esta campaña no es el contenido del correo, sino el remitente: los mensajes provienen de direcciones auténticas de Google, lo que les garantiza un “pase VIP” directo a la bandeja de entrada de las víctimas.
El Mecanismo: Abuso de Application Integration
El ataque se centra en explotar el servicio Google Cloud Application Integration, una plataforma diseñada para conectar diversas aplicaciones y automatizar flujos de trabajo empresariales.
- El Origen: Los atacantes configuran una tarea legítima de “Enviar Correo” dentro de un proyecto de Google Cloud comprometido o creado maliciosamente.
- El Remitente: Al ejecutar esta tarea, el correo se envía desde la dirección oficial noreply-application-integration@google[.]com.
- La Evasión: Dado que el correo proviene de los propios servidores de Google, pasa automáticamente todas las verificaciones de autenticación estándar (SPF, DKIM y DMARC). Los filtros antispam confían en el dominio google.com, por lo que no marcan el mensaje como sospechoso.
La Campaña: Falsas Notificaciones Corporativas
En un periodo observado de solo 14 días en diciembre de 2025, los atacantes enviaron más de 9,300 correos dirigidos a organizaciones en EE. UU., Europa y América Latina.
Los correos están diseñados para imitar notificaciones rutinarias que cualquier empleado esperaría recibir:
- Alertas de Correo de Voz: “Tiene un nuevo mensaje de voz pendiente”.
- Acceso a Archivos: “Se le ha concedido acceso al documento financiero Q4”.
- Solicitudes de Permisos: Notificaciones de seguridad falsas.
Cuando la víctima hace clic en el enlace del correo (que a menudo apunta a otro servicio legítimo de Google Storage storage.cloud.google[.]com para mantener la fachada), es redirigida a través de múltiples saltos hasta llegar a una página de phishing de credenciales, usualmente imitando un login de Microsoft 365.
Impacto y Respuesta
El uso de infraestructura legítima para realizar ataques se conoce como “Living off the Cloud”. Esta táctica reduce drásticamente la barrera psicológica de la víctima: si el correo dice venir de Google y realmente viene de Google, el usuario tiende a confiar ciegamente.
Google ha respondido bloqueando los proyectos específicos identificados en esta campaña y ha declarado que están implementando medidas adicionales para prevenir el abuso de la función de notificaciones en Application Integration.
Recomendaciones
- Reglas de Flujo de Correo: Configurar reglas específicas para alertar o poner en cuarentena correos provenientes de noreply-application-integration@google.com si la organización no utiliza activamente ese servicio específico.
- Educación de Usuarios: Enseñar a los empleados que, aunque el remitente sea legítimo, el contenido y los enlaces pueden no serlo. Verificar siempre la URL final antes de introducir credenciales.
- Seguridad Post-Entrega: Utilizar soluciones de seguridad de correo API-based que analicen el comportamiento del enlace y el contexto del mensaje, no solo la reputación del dominio remitente.
