Investigadores de Check Point han descubierto una sofisticada campaña de phishing que explota la plataforma educativa Google Classroom.
Entre el 6 y el 12 de agosto de 2025, los atacantes enviaron más de 115,000 correos electrónicos fraudulentos en cinco fases, afectando a unas 13,500 organizaciones de distintos sectores (educación, finanzas, salud y manufactura) en Europa, América del Norte, Medio Oriente y Asia.
¿Cómo funcionó el ataque?
El éxito de esta campaña se basó en explotar la confianza en las invitaciones de Google Classroom, que se consideran legítimas y seguras. Los correos de phishing se hicieron pasar por invitaciones para unirse a una clase, logrando así eludir los filtros de seguridad tradicionales como SPF, DKIM y DMARC.
El ataque usó una técnica ingeniosa: los correos no contenían malware, sino que dirigían a las víctimas a un fraude mediante ingeniería social. El mensaje incluía una invitación aparentemente oficial de Google Classroom, pero dentro de ella se camuflaban señuelos comerciales, como ofertas de reventa de productos o servicios de SEO.
El objetivo era que las víctimas contactaran a los estafadores a través de un número de WhatsApp, moviendo la interacción a un canal no monitoreado por las empresas. Este método en varias etapas evitó las herramientas de seguridad organizacional y se aprovechó de la curiosidad de los usuarios.
Check Point determinó que los atacantes generaron las invitaciones de forma automática, probablemente usando cuentas de Google comprometidas o a través del abuso de API, lo que permitió una rápida escalabilidad sin activar las alertas de seguridad de Google.
Implicaciones para la seguridad empresarial
Esta campaña demuestra la vulnerabilidad de depender solo de la confianza en los dominios. Muchos sistemas de seguridad incluyen en la lista blanca a grandes proveedores como Google, creando puntos ciegos. Además, los atacantes espaciaron las oleadas de correos para evitar que los sistemas de seguridad detectaran un alto volumen de mensajes fraudulentos de manera repentina.
Para las organizaciones, esto subraya la necesidad de mejorar la seguridad del correo electrónico con sistemas de análisis de comportamiento que usen aprendizaje automático para identificar anomalías.
Se recomienda a las empresas tomar las siguientes medidas de seguridad:
- Implementar la autenticación multifactor (MFA) en los servicios de Google.
- Utilizar herramientas de protección avanzada contra amenazas (ATP) para analizar metadatos de invitaciones.
- Realizar capacitaciones periódicas para que los empleados aprendan a identificar comunicaciones sospechosas.
Esta campaña sirve como un recordatorio de cómo los ciberdelincuentes se adaptan constantemente para explotar plataformas digitales de confianza. Subraya la necesidad de una estrategia de seguridad de confianza cero, donde cada interacción se valide sin importar su origen.
