Preocupaciones sobre el phishing en criptomonedas
Las estafas de phishing dirigidas a usuarios de criptomonedas se han vuelto más sofisticadas, con atacantes que abusan de la infraestructura de Google para llevar a cabo ataques altamente convincentes. El 16 de abril, Nick Johnson, fundador y desarrollador principal de Ethereum Name Service (ENS), expresó su preocupación por un nuevo método que utilizan los ciberdelincuentes para comprometer cuentas de Gmail y potencialmente atacar criptobolsas asociadas.
Cómo los atacantes de phishing están utilizando Google a su favor
Según Johnson, los atacantes explotan una vulnerabilidad en el ecosistema de Google que les permite enviar correos electrónicos de phishing que parecen alertas de seguridad genuinas del gigante tecnológico. Estos correos electrónicos están firmados con firmas válidas de DomainKeys Identified Mail (DKIM), lo que les permite eludir filtros de spam y parecer auténticos para los destinatarios.
Una vez abiertos, estos correos electrónicos dirigen a los usuarios a un portal de soporte falso alojado en un subdominio de Google, donde se solicita a las víctimas que inicien sesión y suban documentos sensibles. Sin embargo, Johnson advirtió que los atacantes están cosechando credenciales, lo que podría comprometer cuentas de Gmail y cualquier servicio vinculado a esos correos electrónicos.
Los sitios de phishing se construyen utilizando la plataforma Google Sites, que permite el uso de scripts personalizados y contenido incrustado. Si bien esta flexibilidad beneficia a usuarios legítimos, también permite a actores maliciosos crear portales de phishing muy convincentes. Aún más preocupante es que actualmente no hay forma de denunciar abusos directamente a través de la interfaz de Google Sites, lo que facilita a los atacantes mantener su contenido en línea.
“Google se dio cuenta hace mucho tiempo que alojar contenido público especificado por los usuarios en google.com es una mala idea, pero Google Sites ha permanecido. En mi opinión, deberían desactivar los scripts y los contenidos incrustados arbitrarios en Sites, ya que este es un vector de phishing demasiado potente.”
– Nick Johnson
Para aumentar aún más la ilusión de legitimidad, los estafadores crean aplicaciones de Google OAuth que formatean y comparten el mensaje de phishing. Estos mensajes siempre incluyen texto estructurado y lo que parece ser información de contacto del Soporte Legal de Google.
La respuesta de Google
Johnson informó que presentó un informe de error a Google sobre esta vulnerabilidad. Sin embargo, el gigante de los motores de búsqueda supuestamente declaró que las funciones funcionan como se esperaba y no constituyen un problema de seguridad.
“He presentado un informe de error a Google sobre esto; desafortunadamente lo cerraron como ‘Funciona como se esperaba’ y explicaron que no lo consideran un error de seguridad.”
– Nick Johnson
No obstante, instó a Google a considerar limitar la funcionalidad de scripts e incrustaciones para ayudar a prevenir futuros abusos.
Impacto de las estafas de phishing
Este incidente destaca la creciente sofisticación de las campañas de phishing dentro del espacio cripto. Según Scam Sniffer, casi 6,000 usuarios perdieron alrededor de 6.37 millones de dólares en estafas de phishing solo en marzo de 2025. En el primer trimestre del año, 22,654 víctimas sufrieron pérdidas totales de 21.94 millones de dólares.
