{"id":1682753,"date":"2025-04-22T21:52:12","date_gmt":"2025-04-22T21:52:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/phishers-explotan-los-sitios-de-google-y-la-repeticion-de-dkim-para-enviar-correos-electronicos-firmados-robar-credenciales\/"},"modified":"2025-04-22T21:52:17","modified_gmt":"2025-04-22T21:52:17","slug":"phishers-explotan-los-sitios-de-google-y-la-repeticion-de-dkim-para-enviar-correos-electronicos-firmados-robar-credenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/phishers-explotan-los-sitios-de-google-y-la-repeticion-de-dkim-para-enviar-correos-electronicos-firmados-robar-credenciales\/","title":{"rendered":"Phishers explotan los sitios de Google y la repetici\u00f3n de DKIM para enviar correos electr\u00f3nicos firmados, robar credenciales"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

En lo que se ha descrito como un “ataque de phishing extremadamente sofisticado”, los actores de amenaza han aprovechado un enfoque poco com\u00fan que permiti\u00f3 enviar correos electr\u00f3nicos falsos a trav\u00e9s de la infraestructura de Google y redirigir a los destinatarios de mensajes a sitios fraudulentos que cosechan sus credenciales.<\/p>\n

“Lo primero que debe tener en cuenta es que este es un correo electr\u00f3nico firmado v\u00e1lido: realmente se envi\u00f3 desde no-reply@google.com”, Nick Johnson, el desarrollador principal del Servicio de nombre de Ethereum (ENS), dicho<\/a> En una serie de publicaciones en X.<\/p>\n

“Pasa la verificaci\u00f3n de la firma DKIM, y Gmail lo muestra sin advertencias, incluso lo pone en la misma conversaci\u00f3n que otras alertas de seguridad leg\u00edtimas”.<\/p>\n

El mensaje de correo electr\u00f3nico informa a los posibles objetivos de una citaci\u00f3n de una autoridad de aplicaci\u00f3n de la ley que solicita contenido no especificado presente en su cuenta de Google y los insta a hacer clic en un sitio.google[.]Coms para “examinar los materiales del caso o tomar medidas para presentar una protesta”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La URL de los sitios de Google muestra una p\u00e1gina parecida que se hace pasar por la p\u00e1gina leg\u00edtima de soporte de Google e incluye botones para “cargar documentos adicionales” o “Ver [the] Caso “. Haga clic en cualquiera de las opciones lleva a la v\u00edctima a una r\u00e9plica de la p\u00e1gina de inicio de sesi\u00f3n de la cuenta de Google, la \u00fanica diferencia es que est\u00e1 alojada en los sitios de Google.<\/p>\n

“Sites.google.com es un producto heredado de antes de que Google se tomara en serio la seguridad; permite a los usuarios alojar contenido en un subdominio de Google.com, y de manera crucial admite scripts e incrustaciones arbitrarias”, dijo Johnson.<\/p>\n

“Obviamente, esto hace que la construcci\u00f3n de un sitio de recolecci\u00f3n de credencial sea trivial; simplemente tienen que estar preparados para subir nuevas versiones a medida que el equipo de abuso de Google la elimina. Tambi\u00e9n ayuda a los atacantes que no hay forma de informar el abuso de la interfaz de los sitios”.<\/p>\n

Un aspecto inteligente del ataque es el hecho de que el mensaje de correo electr\u00f3nico<\/a> tiene el encabezado “firmado por” configurado en “GOOGLE[.]com “a pesar de tener un encabezado” enviado por “por” con un dominio completamente no relacionado (“FWD-04-1.FWD.PrivateEmail[.]com “).<\/p>\n

\"Phishers<\/a><\/div>\n

La actividad maliciosa se ha caracterizado como un Ataque de reproducci\u00f3n de dkim<\/a>donde el atacante crea por primera vez una cuenta de Google para un dominio reci\u00e9n creado (“yo@“) y luego una aplicaci\u00f3n Google Oauth con el nombre que incluye todo el contenido del mensaje de phishing.<\/domain><\/p>\n

“Ahora otorgan el acceso a su aplicaci\u00f3n OAuth a su cuenta ‘Me@…’ de Google”, dijo Johnson. “Esto genera un mensaje de ‘Alerta de seguridad’ de Google, enviado a su direcci\u00f3n de correo electr\u00f3nico ‘Me@…’. Dado que Google gener\u00f3 el correo electr\u00f3nico, est\u00e1 firmado con una clave DKIM v\u00e1lida y pasa todas las verificaciones”.<\/p>\n

Luego, el atacante procede a reenviar el mismo mensaje desde una cuenta de Outlook, manteniendo intacta la firma DKIM, lo que hace que el mensaje pase por alto los filtros de seguridad de correo electr\u00f3nico, seg\u00fan EasyDMARC. El mensaje se transmite posteriormente a trav\u00e9s de un protocolo de transferencia de correo simple personalizado (Smtp<\/a>) Servicio llamado Jellyfish y recibido por la infraestructura de correo privado de Namecheap que facilita el reenv\u00edo de correo a la cuenta de Gmail espec\u00edfica.<\/p>\n

“En este punto, el correo electr\u00f3nico llega a la bandeja de entrada de la v\u00edctima como un mensaje v\u00e1lido de Google, y todas las verificaciones de autenticaci\u00f3n se muestran como pase SPF, DKIM y DMARC”, CEO de EasyDMarc, Gerasim Hovhannisyan dicho<\/a>.<\/p>\n

\"\"<\/a><\/div>\n

“Debido a que nombraron su cuenta de Google ‘me@’, Gmail muestra que el mensaje fue enviado a ‘Yo’ en la parte superior, que es la taquigraf\u00eda que usa cuando se dirige un mensaje a su direcci\u00f3n de correo electr\u00f3nico, evitando otra indicaci\u00f3n que podr\u00eda enviar banderas rojas”, se\u00f1al\u00f3 Johnson.<\/p>\n

Cuando se contact\u00f3 para hacer comentarios, Google le dijo a Hacker News que ha implementado correcciones para detener la v\u00eda de abuso y enfatiz\u00f3 que la compa\u00f1\u00eda no solicita credenciales de cuentas, como contrase\u00f1as o contrase\u00f1as \u00fanicas, ni llaman directamente a los usuarios.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Somos conscientes de esta clase de ataque objetivo de este actor de amenaza, y hemos lanzado protecciones para cerrar esta v\u00eda para abusar”, dijo un portavoz de Google. “Mientras tanto, alentamos a los usuarios a adoptar la autenticaci\u00f3n de dos factores y las veras pasas, que brindan una fuerte protecci\u00f3n contra este tipo de campa\u00f1as de phishing”.<\/p>\n

La divulgaci\u00f3n se produce casi nueve meses despu\u00e9s de que Guardio Labs revelara una configuraci\u00f3n err\u00f3nea ahora rompida en las defensas de la prueba de seguridad de correo electr\u00f3nico de la seguridad de que los actores de amenaza explotaron para enviar millones de mensajes que falsifican a varias compa\u00f1\u00edas populares como Best Buy, IBM, Nike y Walt Disney, y las medidas de autenticaci\u00f3n de omisi\u00f3n.<\/p>\n

Tambi\u00e9n coincide con un aumento en las campa\u00f1as de phishing que hacen uso de los archivos adjuntos en gr\u00e1ficos vectoriales escalables (SVG<\/a>) Formateo para activar la ejecuci\u00f3n del c\u00f3digo HTML que, a su vez, redirige a los usuarios a un formulario de inicio de sesi\u00f3n de Microsoft Rogue o una p\u00e1gina web falsa disfrazada de Google Voice para atraerlos a ingresar sus credenciales.<\/p>\n

La compa\u00f1\u00eda rusa de ciberseguridad Kaspersky dijo que ha observado m\u00e1s de 4,100 correos electr\u00f3nicos de phishing con archivos adjuntos de SVG desde el comienzo de 2025.<\/p>\n

“Los phishers est\u00e1n explorando implacablemente nuevas t\u00e9cnicas para eludir la detecci\u00f3n”, Kaspersky dicho<\/a>. “Var\u00edan sus t\u00e1cticas, a veces empleando la redirecci\u00f3n del usuario y la ofuscaci\u00f3n del texto, y otras veces, experimentando con diferentes formatos de archivo adjunto. El formato SVG proporciona la capacidad de incrustar el c\u00f3digo HTML y JavaScript dentro de las im\u00e1genes, lo cual es utilizado mal por los atacantes”.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n