• Una campaña está explotando Google Tasks para enviar correos que parecen “legítimos” y de esta forma robar las credenciales de quienes den clic.
  • Kaspersky lo resume como: no están suplantando a Google; se cuelgan de notificaciones reales para entrar “por la puerta grande”.
  • Este ataque no demuestra que “Google sea inseguro”; demuestra algo más relevante para 2026: la confianza ciega en plataformas grandes ya es un vector explotable.

Una campaña reciente está explotando Google Tasks para enviar correos que sí parecen “legítimos” y de esta manera, robar las credenciales de quienes den clic, viajando por flujos reales de Google y que pueden salir desde dominios confiables.

El objetivo es simple: que alguien en la empresa haga clic y “verifique” su identidad en un formulario falso.

El resultado típico no es solo una cuenta comprometida: es acceso lateral a herramientas internas, fraude (BEC), y en el peor escenario, ransomware y semanas de intrusión silenciosa.

¡Únete a la comunidad Adtech!

Nuestras membresías están pensadas para quienes quieren ir un paso adelante. Forma parte y lee el negocio entre líneas.

Membresías

¿Qué está pasando y cómo funciona el engaño?

Según un reporte de Infobae, y un comunicado de Kaspersky, el patrón es consistente:

  1. Llega un correo tipo notificación con asunto “You have a new task” (“Tienes una nueva tarea”), como si tu organización hubiera adoptado Tasks como flujo interno.
  2. El mensaje mete presión con urgencia (prioridad alta, deadlines).
  3. El clic lleva a un formulario de “verificación de empleado” (clonado), donde piden credenciales corporativas.

El giro peligroso: no es el phishing clásico de “dominio raro + link raro”. Aquí la estafa se apalanca en la confianza de la infraestructura y notificaciones “de verdad”.

Kaspersky lo resume como: no están suplantando a Google; se cuelgan de notificaciones reales para entrar “por la puerta grande”.

Por qué esto rompe los filtros tradicionales (y por qué seguirá pasando)

En 2026, muchos equipos todavía evalúan phishing con heurísticas de 2016: “si viene de un dominio confiable, pasa”. El problema es que los atacantes ya entendieron la economía del ‘trusted delivery’:

  • Abusan flujos legítimos (notificaciones / automatizaciones / herramientas cloud) para que el correo “huela” a normalidad.
  • Con eso, no solo mejoran entregabilidad: bajan el umbral de sospecha humana (el verdadero objetivo).

Esto no es aislado: Check Point documentó campañas que imitan mensajes generados por Google abusando automatizaciones en Google Cloud para que parezcan notificaciones rutinarias de empresa.

Y medios de seguridad llevan meses siguiendo el mismo meta-patrón: phishing que usa infraestructura confiable para evadir detección.

💡
El ángulo MadTech que casi nadie está contando: credenciales robadas = presupuesto publicitario secuestrado

En marketing/advertising el daño no se limita a “un correo comprometido”. Un solo usuario con acceso a:

  • Google Workspace
  • herramientas de BI/CRM
  • plataformas de ads
  • tag managers / pixels
  • data clean rooms / partners

Y se puede detonar un escenario doble: exfiltración + manipulación de inversión (cambio de destinos, altas de usuarios sombra, sustitución de creatividades, desvío de leads, o fraude de facturación).

💡
En otras palabras: no solo te roban acceso; te roban la operación.

¿Qué hacer?: defensa práctica

Para equipos de seguridad / IT (prioridad alta)

  • Corta la raíz: MFA resistente a phishing

Prioriza passkeys o llaves FIDO/seguridad para usuarios con privilegios (admins, finanzas, marketing ops). Google empuja passkeys precisamente por resistencia a phishing.

  • Asume que “dominio legítimo” ≠ “intención legítima”

Ajusta políticas: revisión de links, sandboxing, aislamiento del navegador, y reglas para “notificaciones inesperadas”.

  • Monitorea señales de compromiso

Inicios de sesión anómalos, creación de reglas de reenvío, OAuth apps nuevas, cambios en recovery email/phone.

Para empleados (la regla de oro)

  • Nunca metas tu contraseña después de hacer clic en un enlace de un correo

Si algo “parece de Google” pero pide credenciales, entra tú manualmente al servicio. Google lo indica explícitamente: si dudas, revisa actividad/alertas desde myaccount.google.com/notifications.

  • Reporta el correo como phishing en Gmail

También confirma por canal alterno con tu equipo (no respondas al hilo).

La conclusión incómoda

Este ataque no demuestra que “Google sea inseguro”; demuestra algo más relevante para 2026: la confianza ciega en plataformas grandes ya es un vector explotable.

Y mientras las empresas sigan tratando el phishing como “un tema de links raros”, los atacantes van a seguir mudándose a donde mejor les paga: los canales legítimos.

Únete a la membresía Adtech y conecta con líderes, estrategas y talento que están definiendo el futuro del ecosistema.

Suscribirse