Ciberdelincuentes usan notificaciones reales de Google para infiltrarse en empresas y robar credenciales corporativas

Kaspersky alertó sobre una nueva campaña de phishing que explota Google Tasks para evadir
filtros de seguridad y engañar a empleados con mensajes que aparentan ser procesos internos
legítimos.
02 de marzo de 2026
Una nueva campaña de phishing está aprovechando notificaciones legítimas de Google Tasks
para engañar a empleados y robar credenciales corporativas sin levantar sospechas.
Investigadores de Kaspersky identificaron que los atacantes están utilizando el dominio oficial
@google.com y el sistema de notificaciones de Google para eludir los filtros tradicionales de
seguridad en el correo electrónico y aumentar la credibilidad del engaño.

Un email enviado por los atacantes a través de Google Tasks

En esta campaña, las víctimas reciben un mensaje aparentemente auténtico con el asunto “You
have a new task” (“Tienes una nueva tarea”). La notificación simula que la empresa del
destinatario ha implementado Google Tasks como herramienta interna de gestión, generando
presión para actuar con rapidez. En muchos casos, el mensaje incluye indicadores de alta
prioridad y plazos ajustados para inducir una reacción inmediata.

Al hacer clic en el enlace incluido en la notificación, el usuario es redirigido a un formulario
fraudulento que se presenta como una página de “verificación de empleado”. Bajo el pretexto
de confirmar su estatus laboral o validar información interna, se le solicita ingresar sus
credenciales corporativas.
Las consecuencias de este tipo de ataque pueden ser críticas para las organizaciones. El robo
de credenciales corporativas no solo permite el acceso no autorizado a correos electrónicos y
sistemas internos, sino que puede convertirse en la puerta de entrada para ataques de mayor
escala, como fraudes financieros, robo de propiedad intelectual, despliegue de ransomware o
compromisos de cuentas con privilegios elevados.
En muchos casos, una sola cuenta vulnerada es suficiente para moverse lateralmente dentro
de la red, escalar privilegios y permanecer sin ser detectado durante semanas. Además del
impacto operativo, las empresas enfrentan riesgos reputacionales, sanciones regulatorias y
pérdidas económicas derivadas de la filtración de datos sensibles.
“Lo más preocupante de esta campaña es que no ‘suplanta’ a Google: se apalanca de sus
notificaciones reales para colarse por la puerta grande. Al venir desde un dominio legítimo y a
través de un flujo de notificaciones confiable, el mensaje puede evadir controles tradicionales
del correo y, sobre todo, desactivar la desconfianza natural del usuario. El atacante no necesita
malware para causar daño inmediato: le basta con robar credenciales para tomar control de
cuentas corporativas, acceder a correo y herramientas internas, escalar el ataque hacia fraude
(por ejemplo, BEC), robo de información o incluso preparar el terreno para incidentes mayores
como ransomware. En otras palabras, es un recordatorio de que hoy el punto débil ya no es
solo el ‘link’ malicioso, sino la confianza automática en plataformas legítimas cuando se usan
como canal de ingeniería social”, asegura María Isabel Manjarrez, Investigadora de
Seguridad para América Latina en el Equipo Global de Investigación y Análisis de
Kaspersky.
Para evitar este tipo de vulnerabilidades, los expertos de Kaspersky recomiendan:
 Desconfiar incluso de notificaciones que provengan de dominios legítimos: Los
ciberdelincuentes están utilizando servicios confiables para distribuir engaños. Si recibe
una “nueva tarea” o solicitud inesperada, confirme primero con su equipo si se trata de
un proceso real.
 Verificar cuidadosamente los enlaces antes de ingresar información: Antes de
escribir credenciales corporativas, revise la dirección del sitio web y asegúrese de que
corresponde al portal oficial de su empresa. Si tiene dudas, no continúe.
 Activar la verificación en dos pasos en todas las cuentas corporativas: Esta capa
adicional de seguridad ayuda a proteger las cuentas, incluso si la contraseña llega a
filtrarse, reduciendo significativamente el riesgo de accesos no autorizados.
 Implementar soluciones de seguridad especializadas para correo y entornos
corporativos, como Kaspersky Security for Mail Server y la línea Kaspersky Next: Las
soluciones de protección para correo permiten detectar y bloquear intentos de phishing

incluso cuando utilizan dominios legítimos, mientras que plataformas como Kaspersky
Next ayudan a identificar accesos inusuales y comportamientos sospechosos dentro de
la red, facilitando una respuesta temprana antes de que el incidente escale a fraude o
filtración de datos.
Para conocer cómo fortalecer la seguridad empresarial, visita nuestro blog.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones
de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda
inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma constantemente en soluciones
y servicios innovadores para proteger a individuos, empresas, infraestructuras críticas y gobiernos en todo el mundo.
El completo portafolio de seguridad de la empresa incluye protección líder para la vida digital de dispositivos
personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune
para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de personas y a cerca de
200,000 clientes corporativos a proteger lo que más valoran. Más información en: www.kaspersky.com