El Centro de Operaciones de Seguridad (SOC) de Integrity360 ha identificado y analizado recientemente una campaña avanzada de phishing que aprovecha URL legítimas de redireccionamiento de Google, concretamente dominios como share.google, para ocultar el destino final de enlaces maliciosos y aumentar significativamente la probabilidad de interacción del usuario.
Esta actividad se alinea con una tendencia global más amplia y bien documentada observada por múltiples organizaciones de investigación de ciberseguridad y proveedores de inteligencia de amenazas, destacando el creciente abuso de los mecanismos de redirección de Google como una técnica de evasión e ingeniería social. Los hallazgos del SOC de Integrity360 coinciden plenamente con las investigaciones divulgadas públicamente y confirman que estas campañas han permanecido activas y en evolución desde finales de 2025 hasta principios de 2026.
Durante las actividades rutinarias de supervisión y respuesta a incidentes, el SOC de Integrity360 detectó un aumento de correos electrónicos de phishing marcados por Microsoft Defender que contenían URL con las siguientes características:
- URL que empiezan por https://share.google/
- Rutas URL compuestas por cadenas alfanuméricas aparentemente aleatorias
- Sin indicadores maliciosos evidentes en la parte inicial de la URL
- Redireccionamiento a dominios externos, ajenos a Google
Un ejemplo representativo observado fue
https://share.google/WZVPCOYZZLbKAmFeF
A primera vista, estos enlaces parecen legítimos para los usuarios finales debido a la confianza inherente asociada a la marca Google. Sin embargo, el análisis dinámico confirmó que estas URL funcionan como redireccionadores, reenviando a los usuarios a destinos externos y potencialmente maliciosos.
El análisis Sandbox realizado por el SOC Integrity360 reveló que el destino final de la redirección no es estático. Por el contrario, puede variar en función de varios factores, como el agente de usuario, el contexto de navegación y los atributos del entorno. En algunos casos, los entornos sandbox fueron redirigidos a sitios web benignos o aleatorios, mientras que los usuarios reales fueron dirigidos a páginas de phishing activas.
Este comportamiento es coherente con técnicas avanzadas de evasión de entornos aislados diseñadas para eludir la detección automática, los sistemas de reputación de URL y el análisis de enlaces de pasarelas de correo electrónico seguras.
Otra característica notable identificada durante la investigación fue el remitente aparente de los correos electrónicos de phishing. En muchos casos, los mensajes parecían proceder de la cuenta personal de Gmail del destinatario y se enviaban a su dirección de correo electrónico corporativa.
Esta técnica, comúnmente conocida como "self-spoofing" o "replay phishing", explota la confianza y familiaridad del usuario, aumentando significativamente la credibilidad del mensaje y reduciendo la sospecha del usuario. Al aprovechar la infraestructura legítima de Google, estos mensajes de correo electrónico pueden eludir las comprobaciones básicas de confianza y autenticación.
Las técnicas observadas por el SOC de Integrity360 reflejan fielmente las documentadas por múltiples investigadores y proveedores de ciberseguridad. La investigación pública ha demostrado sistemáticamente que los atacantes abusan de varios mecanismos de redirección de Google, como share.google, google.com/url, google.sm, Google AMP, Google Translate y Google Maps, para ocultar destinos maliciosos y eludir los controles de seguridad.
Con frecuencia, los atacantes rotan los dominios, las rutas y los parámetros para evadir las reglas de detección estática, confiando en la gran reputación de los dominios propiedad de Google que, a menudo, son de confianza implícita o están incluidos en la lista de permitidos dentro de los entornos empresariales.
Estas técnicas de phishing representan un riesgo significativo para las organizaciones por varias razones. Los dominios de confianza de Google reducen el escepticismo de los usuarios, el filtrado estático de URL resulta ineficaz, los entornos sandbox pueden no observar el verdadero comportamiento malicioso y los correos electrónicos autofalsificados reducen drásticamente la vigilancia de los usuarios.
Las organizaciones que se basan principalmente en la reputación de dominios o en la inspección de enlaces estáticos son especialmente vulnerables a estas campañas.
Basándose en los hallazgos, el SOC Integrity360 recomienda un enfoque de defensa por capas. Los controles de autenticación del correo electrónico deben incluir una aplicación estricta de DMARC configurada para cuarentena o rechazo, alineación SPF estricta y firma DKIM obligatoria para el correo electrónico saliente con el fin de reducir la eficacia de los ataques de suplantación y repetición.
Los controles de seguridad web deben configurarse para analizar las cadenas de redireccionamiento y bloquear las situaciones en las que dominios de confianza redirigen a destinos no fiables. Los equipos de seguridad deben evitar basarse únicamente en el dominio inicial a la hora de evaluar la seguridad de los enlaces.
La concienciación de los usuarios sigue siendo fundamental. Los usuarios deben saber que los enlaces de la marca Google no son intrínsecamente seguros, que los mensajes de correo electrónico que parecen proceder de ellos mismos deben tratarse con precaución y que los enlaces de redirección pueden ocultar páginas de suplantación de identidad.
El análisis del SOC de Integrity360 confirma que el abuso de las redirecciones de Google representa una de las técnicas de phishing más eficaces y persistentes que se utilizan en la actualidad. Mediante la combinación de infraestructura de confianza, redireccionamiento dinámico e ingeniería social sofisticada, los atacantes son capaces de eludir tanto los controles técnicos como las defensas humanas.
Este panorama de amenazas refuerza la necesidad de controles de seguridad multicapa, análisis del comportamiento, formación continua de los usuarios e información actualizada sobre amenazas. El SOC Integrity360 sigue vigilando activamente estas campañas y ayudando a los clientes a identificar, mitigar y responder a esta amenaza en evolución.