Parece legítimo. Tiene el logo de Google, la tipografía correcta e incluso proviene de una dirección que termina en «google.com». Te avisa de una alerta de seguridad crítica o de un problema con tu cuenta que requiere acción inmediata. Tu pulso se acelera, haces clic y… acabas de entregar las llaves de tu vida digital a una red criminal. Una nueva oleada de phishing masivo está barriendo internet, y esta vez, los estafadores han logrado lo que parecía imposible: usar la propia infraestructura de Google para engañarte.
Expertos en ciberseguridad han detectado una campaña sofisticada que explota la función «Google Cloud Application Integration». Los atacantes no están falsificando el remitente; están abusando de una herramienta legítima de Google para enviarte correos maliciosos que los filtros antispam (incluso los de Gmail) dejan pasar porque, técnicamente, son correos reales de Google. Es el crimen perfecto.
Cómo funciona la estafa del «falso positivo»
El mecanismo es perverso. Recibes un correo de direcciones como no-reply@google.com. El cuerpo del mensaje imita a la perfección una notificación de soporte o seguridad. Incluye enlaces que redirigen a sitios fraudulentos diseñados para robar tus credenciales, pero como el email origen es de confianza, tu guardia está baja. Esta técnica de ingeniería social es mucho más avanzada que el típico correo mal redactado del «príncipe nigeriano». Aquí, la confianza en la marca tecnológica es el arma.
Este tipo de brechas recuerdan a las vulnerabilidades que explotaron recientemente contra plataformas de música en el famoso hackeo masivo a Spotify, donde la confianza de los usuarios fue la puerta de entrada. La diferencia es que ahora atacan la cuenta madre: tu Google ID, que abre las puertas a tu correo, tus fotos (ahora organizadas por IA gracias a los nuevos Photo Stacks) y tu nube.
Qué hacer si recibes el correo maldito
La recomendación es drástica: desconfianza cero. Google nunca te pedirá tu contraseña por correo ni te urgirá a hacer clic en un enlace bajo amenaza de cerrar tu cuenta. Si recibes una alerta, sal del correo y ve directamente a tu navegador, escribe myaccount.google.com y comprueba las notificaciones allí. Jamás uses los enlaces del email.
Las autoridades y la propia Google ya están trabajando para cerrar este agujero en su Cloud, pero mientras tanto, miles de correos siguen llegando. Verifica la URL de destino pasando el ratón por encima (sin hacer clic) y activa la autenticación en dos pasos si aún no lo has hecho. En 2025, tu paranoia es tu mejor antivirus.
