Un sofisticado ataque de suplantación de identidad (phishing) ha sido detectado, el cual explota vulnerabilidades en el sistema OAuth de Google.
Este ataque logra evadir los filtros de seguridad de Gmail y aparenta ser legítimo para los usuarios. Esto se debe a que se origina en dominios auténticos de Google y supera las verificaciones de seguridad convencionales, incluyendo la autenticación DKIM.
Nick Johnson, desarrollador de Ethereum Name Service (ENS), informó haber sido objetivo de un ataque que aprovechó una falla en la infraestructura de Google, lo que permitió a los actores de amenazas enviar correos electrónicos que parecen provenir directamente de los dominios oficiales de Google.
«Recientemente fui blanco de un ataque de phishing extremadamente sofisticado y quiero resaltarlo aquí. Explota una vulnerabilidad en la infraestructura de Google y, dada su negativa a solucionarlo, es probable que lo veamos mucho más», escribió Johnson en X.
La sofisticación técnica de este ataque radica en su inteligente manipulación del sistema de autenticación DKIM (DomainKeys Identified Mail) de Google a través de lo que los expertos en seguridad llaman un «ataque de reproducción DKIM».
A diferencia de los intentos de phishing convencionales que se basan en páginas de inicio de sesión falsas, este ataque aprovecha flujos de autorización legítimos de OAuth.
El ataque sigue una secuencia precisa de pasos técnicos:
- Los atacantes registran un dominio y crean una cuenta de Google con el nombre de usuario «yo@dominio».
- Crean una aplicación Google OAuth con el mensaje de phishing completo incrustado en el nombre de la aplicación.
- Después de otorgar acceso a la aplicación a su dirección de correo electrónico, Google envía automáticamente una alerta de seguridad a la bandeja de entrada del atacante.
Esta alerta, auténticamente firmada con la clave DKIM de Google, se reenvía a las víctimas potenciales. El mensaje proviene de «no-reply@google[.]com» y pasa todos los controles de seguridad estándar, incluida la verificación DKIM.
El mensaje fraudulento contenía un enlace a una página de soporte de Google aparentemente legítima alojada en sites.google.com, lo que aumentaba aún más su credibilidad.
En el caso de Johnson, el correo electrónico de phishing afirmaba que se había entregado una citación a Google LLC requiriendo la producción del contenido de su cuenta de Google, junto con un número de referencia del caso que parecía oficial.
Los investigadores notaron que el enlace incrustado en el correo electrónico apuntaba a una página de phishing bajo el subdominio «google.com», guiando a los usuarios a ingresar a una interfaz de inicio de sesión simulada para robar credenciales.
Google ha confirmado su conocimiento de esta campaña de phishing y ha reconocido que explota los mecanismos OAuth y DKIM de forma creativa.
La compañía afirmó que está implementando medidas para contrarrestar esta amenaza específica y espera tener una solución «totalmente implementada» pronto.
«¡Google lo ha reconsiderado y solucionará el error de OAuth!» Johnson lo confirmó en una actualización reciente.
Mientras tanto, los expertos en seguridad recomiendan a los usuarios habilitar la autenticación de dos factores, usar claves de acceso cuando estén disponibles y permanecer atentos a cualquier correo electrónico que solicite verificación de cuenta o credenciales de inicio de sesión, incluso si parecen provenir de fuentes legítimas.
Este ataque representa una evolución preocupante en las técnicas de phishing, yendo más allá de la recolección de credenciales tradicional hacia una explotación más sofisticada de protocolos de autorización confiables como OAuth 2.0.
