Nueva estafa suplanta tan bien a Google que varios usuarios de Gmail ya han perdido su cuenta: así puede protegerse

El ingeniero de software Nick Johnson fue quien prendió las alarmas, tras analizar un correo que recibió en su propia cuenta de Gmail. Dicho mensaje provenía de la dirección accounts.google.com, y se advertía sobre una supuesta alerta de seguridad y el enlace que acompaña la comunicación dirigía a una página de soporte con dirección sites.google.com, lo que a primera vista pareciera ser una página completamente legítima.

Sin embargo, al revisar en detalle el mensaje, Johnson descubrió que se trataba de un fraude cuidadosamente construido: los ciberdelincuentes habían logrado manipular los mecanismos de autenticación de Google para que el correo pareciera firmado por la misma compañía.

Pero en realidad, la dirección del remitente está vinculada al dominio privateemail.com, un servicio que es usado frecuentemente por cibercriminales especializados en ejecutar estafas con tipo phishing.

Más sobre estafas:

• Búsquedas que nunca debe hacer en Google: podría poner en peligro su dispositivo y sus datos 
• Criminales ya tienen acceso total a su cuenta bancaria: nueva amenaza les permite llevarse todo su dinero 
• Si lo agregan a este grupo de WhatsApp, salga de inmediato o podría quedarse sin un peso

¿Cómo logran que un correo falso parezca legítimo de Google?

La clave del engaño radica en la creación de una app maliciosa usando Google Oauth, el protocolo que permite vincular aplicaciones a cuentas de Google. Mediante este recurso, los criminales registran un dominio personalizado, crean una cuenta de Google con ese dominio y luego desarrollan una aplicación a través de Oauth que se vincula de forma legítima a dicha cuenta.

De esta manera, los correos enviados desde esta app quedan firmados digitalmente por Google, ya que utilizan sus propios mecanismos de autenticación. Esto permite que Gmail no detecte el mensaje como spam o amenaza. Esto permite que los usuarios caigan en la trampa haciendo clic en el link que dirige a la víctima a páginas falsas que imitan con gran precisión los portales oficiales de Google.

Una vez allí, el usuario ingresa su usuario y contraseña de acceso en una página que está diseñada para recolectar la información de las personas. Posteriormente, las claves de acceso y otros datos personales son usados para tomar el control de Gmail y de los demás servicios de Google que tenga el usuario.

Lea además: Cómo recuperar espacio en Gmail y Google Drive sin pagar o eliminar archivos importantes

Cómo proteger su cuenta de Gmail ante este tipo de estafas

Ante este tipo de amenazas, expertos en ciberseguridad indican que la prevención es la mejor herramienta. Por ello, ofrecen las siguientes recomendaciones para blindar una cuenta de Google y minimizar el riesgo de ser víctima de los estafadores.

Active la verificación en dos pasos (2FA)

Esta es la defensa más efectiva, porque brinda una segunda capa de seguridad a pesar de que un atacante logre conseguir la contraseña de acceso. En caso de que el criminal tenga la clave, no podrá acceder a una cuenta debido a que necesita tener segundo el código que llega al celular del usuario. 

De hecho, Google permite usar varios mecanismos, como seguridad biométrica, confirmación desde el celular o un número de celular, para permitir el inicio de sesión de una cuenta.

Cómo activarla:

• Ingrese a https://myaccount.google.com/security
• Busque la sección “Iniciar sesión en Google”
• Seleccione “Verificación en dos pasos” y siga las instrucciones.

Use el Centro de Seguridad de Google

Google ofrece un panel centralizado para revisar qué dispositivos están conectados, actividad reciente y accesos sospechosos. Para acceder a este recurso se debe acceder al siguiente link: https://myaccount.google.com/security-checkup

Desde este apartado el usuario podrá:

• Cerrar sesiones abiertas en otros dispositivos
• Revocar accesos de apps sospechosas
• Revisar alertas de seguridad recientes

Sospeche de enlaces con dominios inusuales

Aunque el mensaje parezca legítimo, es vital revisar con atención la dirección del remitente y del enlace. Evite hacer clic en URLs que contengan las terminaciones sospechosas como:

• com-track
• com-toll
• Subdominios que usen sites.google.com para imitar formularios oficiales

Debe saber: Este es el mensaje de texto usado para estafar a usuarios de Bancolombia: evite que le desocupen la cuenta

Nunca comparta sus datos a través de formularios que llegan por correo

Google jamás pedirá que se confirme información confidencial a través de un formulario que llega por email. Si el mensaje le solicita ingresar la contraseña o cargar documentos, es recomendable cerrar de inmediato la página y reportar el correo como phishing directamente en Gmail (menú de los tres puntos en la esquina del correo → “Reportar phishing”).

Revise las apps conectadas a su cuenta

Desde la sección “Aplicaciones con acceso a tu cuenta”, el usuario podrá detectar si una app que no reconoce está conectada a su cuenta Google. Es recomendable revisar periódicamente y revocar el acceso a dispositivos o servicios desconocidos.

Para utilizar este recurso es necesario acceder al siguiente link: https://myaccount.google.com/permissions

¿Qué hacer si ya fue víctima?

En caso de tener la sospecha de que se han ingresado datos en una página fraudulenta, se recomiendan aplicar las siguientes acciones:

• Cambie su contraseña de inmediato.
• Cierre sesión en todos los dispositivos desde la cuenta de Google.
• Active la verificación en dos pasos, si no lo había hecho.
• Revise la actividad reciente de la cuenta en busca de movimientos sospechosos.
• Reporte el incidente a través del soporte oficial de Google o a las autoridades de su país, como el CAI Virtual de la Policía Nacional en Colombia.