Nueva estafa de phishing de Google AppSheet que envía avisos de marca registrada falsos

Una estafa de phishing está explotando la plataforma de confianza AppSheet de Google para eludir los filtros de correo electrónico. Descubre cómo los hackers usan herramientas legítimas para engañar a los usuarios de Google Workspace.

Una nueva campaña de phishing está engañando a los usuarios de Google Workspace enviándoles correos electrónicos que simulan provenir de AppSheet, un servicio confiable de Google. Un estudio publicado recientemente por Raven AI, proveedor de soluciones de inteligencia artificial de Agentic , revela que los atacantes ahora utilizan plataformas legítimas para evadir los filtros de correo electrónico estándar.

Para su información, AppSheet es una plataforma sin código de Google que permite crear aplicaciones propias sin necesidad de programar. Al ser un componente esencial de Google Workspace, los correos electrónicos de AppSheet son comunes en las bandejas de entrada corporativas y casi siempre se consideran seguros. Esta confianza inherente es precisamente lo que los atacantes están explotando.

La razón por la que este ataque es difícil de detectar es que los hackers no crean correos electrónicos falsos , sino que usan el correo real. Sus mensajes se envían desde una dirección legítima @appsheet.com ( [email protected] ), provienen de los servidores de correo de Google e incluso superan todas las comprobaciones de autenticación estándar, como SPF, DKIM y DMARC .

Desde un punto de vista técnico, los correos electrónicos son completamente auténticos. Los atacantes simplemente manipulan el contenido para que sea engañoso, utilizando un asunto que afirma ser un "aviso de cumplimiento de marca registrada" y dirigiendo a las víctimas a una página de inicio de sesión falsa mediante un acortador de URL engañoso.

El sistema de inteligencia artificial de Raven, que detectó inicialmente el ataque, detectó que el contenido del correo electrónico (una amenaza legal) no correspondía en absoluto a una notificación de AppSheet. También marcó el acortador de URL sospechoso, un claro indicador de que el mensaje era una estafa.

Esta no es la primera vez que AppSheet se utiliza de esta manera. Desde marzo de 2025, se ha producido un aumento de estos ataques, con un pico importante observado el 20 de abril, cuando el 10,88 % de todos los correos electrónicos de phishing a nivel mundial se enviaron desde AppSheet, según un informe de KnowBe4 Threat Labs. Esto demuestra que AppSheet se ha convertido en la plataforma predilecta de los atacantes para este tipo de estafas.

El equipo de investigación de Raven AI concluyó que los equipos de seguridad deben ir más allá de la seguridad basada en la autenticación. Argumentan que la alternativa es un futuro en el que cualquier servicio legítimo se convierta en un vector de ataque potencial y la seguridad del correo electrónico tradicional quede obsoleta. Por eso, los sistemas de seguridad deben ser más inteligentes, capaces de analizar no solo quién envió un mensaje, sino también si el mensaje tiene sentido al provenir de ese remitente.

Al comentar sobre los hallazgos, Erich Kron, defensor de la concientización sobre seguridad en KnowBe4, compartió su perspectiva con Hackread.com y afirmó: "La dependencia de marcas comúnmente utilizadas o conocidas en los ataques de ingeniería social no es nada nuevo; sin embargo, estos ataques siguen siendo bastante efectivos", dijo Kron.

Explicó que, al aprovecharse de marcas conocidas por las posibles víctimas, los hackers explotan la confianza que estas marcas se han esforzado por establecer. «Este tipo de ataques buscan integrarse en las actividades cotidianas, aumentando aún más la confianza de la posible víctima».

Kron también señaló que usar una plataforma confiable elimina una señal de alerta clave para las víctimas, ya que se eluden muchos filtros y controles técnicos. Destacó la importancia de que las personas aprendan diversas maneras de identificar posibles ataques de ingeniería social, incluyendo la identificación de URL potencialmente dañinas y otras trampas.