Kaspersky descubre phishing de Google Tasks para robar credenciales

Nota del editor: La siguiente información describe una nueva campaña de phishing descubierta por Kaspersky que secuestra notificaciones legítimas de Google Tasks para robar credenciales corporativas. Los atacantes se hacen pasar por servicios confiables, aprovechando el dominio @google.com y pistas internas de la empresa para evadir filtros estándar y presionar a los usuarios a actuar rápidamente. Se invita a las víctimas a hacer clic en un enlace y completar un formulario fraudulento de verificación de empleados, exponiendo credenciales sensibles que podrían dar acceso no autorizado. Este aviso destaca las tácticas en evolución que utilizan los criminales para explotar herramientas conocidas y la importancia de la vigilancia en entornos empresariales.

Puntos clave

Los atacantes abusan de notificaciones legítimas de Google Tasks para robar credenciales corporativas.

La campaña usa el confiable dominio @google.com para evadir filtros y generar confianza.

Los usuarios son dirigidos a un formulario fraudulento de verificación de empleados tras hacer clic en un enlace.

El engaño social se basa en la urgencia y en la apariencia de procesos internos para reducir defensas.

Por qué esto importa

Al explotar servicios familiares, la campaña aprovecha la confianza en herramientas cotidianas, aumentando la probabilidad de que los empleados revelen credenciales. Este método evade muchos filtros de seguridad y resalta la necesidad de conciencia y defensas en capas en las organizaciones. El incidente subraya por qué la capacitación, la autenticación multifactor y los procesos de verificación robustos son críticos, ya que los atacantes continúan adaptándose a plataformas legítimas.

Qué vigilar a continuación

Esté atento a más intentos de phishing que imiten herramientas empresariales a través de canales de notificación confiables.

Vigile formularios fraudulentos que soliciten credenciales corporativas y verifique las URL antes de interactuar.

Asegure que la MFA y las medidas de seguridad del servidor de correo estén implementadas para proteger las cuentas.

Reporte actividades sospechosas a TI y actualice las políticas de seguridad según sea necesario.

Divulgación: El contenido a continuación es un comunicado de prensa proporcionado por la empresa/representante de relaciones públicas. Se publica con fines informativos.

Kaspersky descubre una nueva campaña de phishing que explota notificaciones de Google Tasks para robar credenciales corporativas

26 de febrero de 2026

Kaspersky ha descubierto un nuevo esquema de phishing que abusa de notificaciones legítimas de Google Tasks para engañar a usuarios corporativos y hacerles revelar sus credenciales de inicio de sesión. Aprovechando el confiable dominio de correo @google.com y el sistema de notificaciones de Google, los atacantes evaden los filtros tradicionales de seguridad de correo electrónico y explotan la confianza de los usuarios en servicios familiares.

En esta campaña, las víctimas reciben una notificación auténtica de Google Tasks con el asunto “Tienes una nueva tarea”. El mensaje crea la ilusión de que la empresa del destinatario ha adoptado la herramienta de gestión de tareas de Google, presionándolos a actuar rápidamente. La notificación suele incluir elementos de urgencia, como una bandera de alta prioridad y un plazo ajustado, para impulsar una respuesta inmediata.

Un correo enviado por los atacantes a través de Google Tasks

Al hacer clic en el enlace incrustado, los usuarios son dirigidos a un formulario fraudulento disfrazado de una página de “verificación de empleado”, donde se les pide ingresar sus credenciales corporativas bajo la pretensión de confirmar su estado. Estas credenciales robadas pueden ser utilizadas para acceder sin autorización a sistemas de la empresa, robar datos o realizar ataques adicionales.

“El vasto ecosistema de servicios de Google es explotado por los estafadores. El esquema con Google Tasks forma parte de una tendencia más amplia observada antes y que continúa en 2026, donde los ciberdelincuentes usan plataformas legítimas para distribuir estafas y phishing. Las notificaciones provenientes de dominios legítimos evaden naturalmente muchos filtros de spam y phishing, mientras que el aspecto de ingeniería social — hacer que parezca un proceso interno de la empresa — reduce la guardia de la víctima”, comenta Roman Dedenok, experto en Anti-Spam de Kaspersky.

Lee el artículo sobre esta táctica en el blog de Kaspersky.

Para contrarrestar esta y otras amenazas similares, Kaspersky recomienda:

Desconfiar de invitaciones no solicitadas de cualquier plataforma, incluso si parecen provenir de fuentes confiables

Inspeccionar cuidadosamente las URL antes de hacer clic

No llamar a los números de teléfono indicados en correos sospechosos — si necesitas contactar soporte de un servicio, busca el número en la página oficial

Reportar correos sospechosos a la plataforma y usar autenticación multifactor en todas las cuentas

Para usuarios corporativos, Kaspersky Security for Mail Server, con sus mecanismos de defensa en capas impulsados por algoritmos de aprendizaje automático, ofrece protección robusta contra una amplia gama de amenazas en evolución y brinda tranquilidad a las empresas frente a los riesgos cibernéticos en constante cambio.

Para usuarios individuales, Kaspersky Premium ofrece funciones anti-phishing impulsadas por IA diseñadas para ayudar a evitar ataques de phishing y mejorar la ciberseguridad en general.

Sobre Kaspersky

Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha contra amenazas cibernéticas emergentes y ataques dirigidos, la profunda inteligencia de amenazas y experiencia en seguridad de Kaspersky se transforma constantemente en soluciones y servicios innovadores para proteger a individuos, empresas, infraestructura crítica y gobiernos en todo el mundo. La cartera integral de seguridad de la compañía incluye protección digital líder para dispositivos personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de personas y a casi 200,000 clientes corporativos a proteger lo que más importa. Más información en www.kaspersky.com.

Este artículo fue publicado originalmente como Kaspersky Uncovers Google Tasks Phishing To Steal Credentials en Crypto Breaking News, tu fuente confiable para noticias de criptomonedas, Bitcoin y actualizaciones de blockchain.