Una nueva modalidad de fraude en línea está afectando a usuarios de Gmail, combinando correos electrónicos falsos y llamadas telefónicas fraudulentas para obtener información sensible. Los delincuentes, apoyados por tecnologías de inteligencia artificial, están llevando a cabo ataques que incluso han afectado a profesionales de la seguridad informática. Esta técnica pone en riesgo no solo datos personales, sino también credenciales de acceso a cuentas esenciales.
El modus operandi se basa en enviar mensajes que aparentan provenir de fuentes confiables, como el soporte técnico de Google, utilizando la dirección workspace-noreply@google.com. Durante la llamada, los estafadores se hacen pasar por representantes de entidades reconocidas, generando confianza con un acento estadounidense y ofreciendo asistencia para resolver supuestos problemas de seguridad. Este engaño prepara el terreno para que la víctima entregue información confidencial.
Una vez establecida la comunicación, los delincuentes persuaden a la víctima para que realice una serie de acciones, entre ellas la instalación de una “aplicación de seguridad” o el acceso a una página web que imita el soporte oficial de Google. Si la víctima introduce sus credenciales o autoriza el acceso, los atacantes obtienen una llave maestra que les permite controlar la cuenta. Además, durante el proceso, se solicita un código de autenticación multifactor (MFA), lo que completa el fraude y abre la puerta a un control total sobre la cuenta afectada.
Casos recientes han puesto en alerta al sector, como el intento fallido que casi afecta a Zach Latta, fundador de Hack Club, y la advertencia emitida por Sam Mitrovic, experto en seguridad de Microsoft y fundador de CloudJoy. Ambos relataron cómo los delincuentes han logrado imitar la voz de empleados reales de Google y utilizar identificadores de llamada asociados a la compañía para legitimarse ante las víctimas.
Ante esta creciente sofisticación en las estafas, expertos en ciberseguridad recomiendan extremar las precauciones. Se insta a los usuarios a verificar cuidadosamente cualquier comunicación que parezca provenir de entidades oficiales y a no proporcionar información personal o credenciales a través de canales no verificados. Mantenerse alerta y confirmar la autenticidad de las solicitudes es clave para evitar convertirse en víctima de estos elaborados fraudes.
