Cuentas de Gmail Comprometidas a Medida que Hackers Rusos Evitan MFA

En una preocupante nueva ola de ciberataques, un actor de ciberamenaza patrocinado por el estado ruso ha sido sorprendido haciéndose pasar por el Departamento de Estado de EE. UU. para obtener acceso no autorizado a cuentas de Gmail, específicamente aquellas pertenecientes a académicos prominentes y críticos de Rusia.

Según investigadores de seguridad del Grupo de Inteligencia de Amenazas de Google (GTIG), los ataques comenzaron al menos en abril y continuaron hasta principios de junio de 2025. Los hackers, rastreados bajo el nombre UNC6293 y sospechosos de estar vinculados al conocido grupo APT29/ICECAP, confiaron en tácticas de ingeniería social cuidadosamente elaboradas para extraer credenciales de inicio de sesión de sus víctimas.

Los Hackers Usaron Engaño, No Malware

En lugar de utilizar malware típico o enlaces de phishing evidentes, los atacantes optaron por un enfoque más sutil. En su lugar, construyeron confianza con sus objetivos a lo largo del tiempo enviando correos electrónicos personalizados e invitaciones a reuniones falsas. Para aumentar su credibilidad, los atacantes suplantaron direcciones de correo electrónico del Departamento de Estado de EE. UU. que parecían oficiales, incluso incluyéndolas en la línea CC de sus mensajes.

Un ejemplo, compartido por Keir Giles, un destacado investigador británico sobre Rusia, muestra un mensaje reenviado (ver abajo) con una dirección del Departamento de Estado que parece creíble incluida entre los destinatarios, una táctica clave utilizada para ganar confianza.

Una vez que el objetivo respondió, los atacantes enviaron un archivo PDF que parecía inofensivo, personalizado para cada destinatario y con un tema que se asemejaba a la comunicación oficial del Departamento de Estado, con instrucciones falsas que afirmaban ayudarles a acceder a un sistema seguro del gobierno de EE. UU.

En realidad, el documento guiaba a la víctima para crear lo que se conoce como una Contraseña Específica de Aplicación (ASP), un código único de 16 caracteres utilizado para permitir que las aplicaciones accedan a cuentas de Gmail, eludiendo la verificación en dos pasos.

Crucialmente, se instruyó a la víctima que enviara este código de vuelta al atacante. Armados con la ASP, los hackers podían iniciar sesión en el correo electrónico del usuario sin ser detectados, obteniendo acceso a largo plazo sin necesidad de contraseñas regulares o activar alertas de MFA (autenticación multifactor).

“Los atacantes luego configuraron un cliente de correo para usar la ASP, probablemente con el objetivo final de acceder y leer la correspondencia por correo electrónico de la víctima. Este método también permite a los atacantes tener acceso persistente a las cuentas”, escribió GTIG en una publicación de blog el jueves.

Dos Campañas, Una Estrategia

** GTIG identificó dos campañas separadas pero relacionadas:

Campaña 1 utilizó un tema del Departamento de Estado de EE. UU., sugiriendo el nombre de ASP “ms.state.gov”.

Campaña 2 presentó una mezcla de marcas ucranianas y de Microsoft.

Ambas campañas utilizaron los mismos proxies residenciales (91.190.191.117) y servidores privados virtuales (VPS) en la infraestructura, facilitando a los investigadores vincularlas entre sí.

Medidas Tomadas

Google dice que ya ha vuelto a asegurar las cuentas de Gmail comprometidas por estas campañas y está trabajando activamente para prevenir futuros ataques de este tipo. La compañía recuerda a los usuarios que las ASP se pueden crear y revocar en cualquier momento. Cuando se crea una ASP, Google envía automáticamente una notificación a la cuenta de Gmail correspondiente del usuario, a la dirección de correo electrónico de recuperación y a cualquier dispositivo conectado con esa cuenta de Google para confirmar que la acción fue intencional.

Para usuarios de alto riesgo, como periodistas, activistas y analistas políticos, Google proporciona recursos de seguridad mejorados como el Programa de Protección Avanzada (APP), que ofrece una seguridad más fuerte y desactiva la capacidad de crear ASP por completo.

“Esperamos que una mejor comprensión de las tácticas y técnicas mejore las capacidades de caza de amenazas y conduzca a una protección más fuerte para los usuarios en toda la industria”, concluyó la publicación del blog.