viernes, julio 17, 2026
InicioTecnologíaCiberseguridadHackers acceden a Gmail empresarial sin usar las contraseñas

Hackers acceden a Gmail empresarial sin usar las contraseñas

Expertos descubren un método del grupo ToddyCat que vulnera correos corporativos en navegadores Chromium al tomar el control de las sesiones que dejas activas.

La seguridad digital de las organizaciones enfrenta un nuevo e ingenioso desafío. Expertos de la compañía global de ciberseguridad Kaspersky han identificado una novedosa técnica utilizada por el grupo de amenaza avanzada persistente (APT) conocido como ToddyCat. Este grupo criminal ha diseñado una estrategia para intentar ingresar de forma no autorizada a las cuentas corporativas de Gmail sin la necesidad de robar directamente las contraseñas de los usuarios. El hallazgo se produjo en el marco de las investigaciones proactivas de la firma tecnológica sobre amenazas avanzadas en entornos digitales globales.

El enfoque principal de este ataque se centra en aprovechar las sesiones de correo electrónico que los colaboradores dejan abiertas de forma permanente en sus navegadores web de uso diario. Al mantener la sesión activa, el navegador web conserva un mecanismo de autenticación automática, que actúa como una especie de llave digital. Esta condición permite a los usuarios continuar utilizando su cuenta sin escribir su clave secreta cada vez que ingresan, pero también abre una preocupante ventana de vulnerabilidad que el grupo cibercriminal está explotando activamente.

La innovadora técnica ha sido bautizada por los investigadores de seguridad informática como Shadow Token via Remote Debug, cuyas siglas de cuatro letras son STRD. Según los reportes técnicos detallados por la firma de ciberseguridad, esta modalidad afecta de manera directa a los navegadores web que están basados en el sistema Chromium. El ataque funciona mediante el despliegue de un malware específico denominado Umbrij, el cual posee la capacidad técnica de abrir una conexión totalmente oculta utilizando una función nativa del navegador orientada originalmente a desarrolladores para realizar pruebas de programación.

Al activar esta funcionalidad de depuración remota de forma maliciosa, los atacantes obtienen la facultad de enviar solicitudes directas al servicio de Gmail. Estas acciones fraudulentas son interpretadas por la plataforma de Google como si provinieran de una sesión legítima y completamente autenticada por el propio usuario de la organización. Una vez establecido este flujo de comunicación engañoso, el software malicioso solicita permisos sumamente amplios sobre los recursos de la cuenta de la víctima, comprometiendo de inmediato los correos electrónicos, los archivos almacenados en la nube y los contactos empresariales.

El nivel de automatización de la amenaza es tan avanzado que el propio malware puede aprobar de manera autónoma la ventana de consentimiento digital haciendo clic de forma invisible en la opción “Permitir”. De este modo, los cibercriminales obtienen el código de autorización requerido para acceder a toda la información confidencial de la empresa sin levantar sospechas inmediatas. Aunque el código malicioso analizado en esta campaña fue diseñado originalmente para afectar a los usuarios del sistema operativo Windows, los expertos advierten que la metodología informática detrás del ataque podría adaptarse potencialmente a otros sistemas operativos del mercado.

Respecto a este peligroso cambio de estrategia en el cibercrimen, Leandro Cuozzo, Investigador de seguridad para América Latina en el equipo GReAT de Kaspersky, señaló lo siguiente: “Este hallazgo evidencia un cambio importante en la forma en que los atacantes buscan comprometer cuentas corporativas. Ya no se trata únicamente de robar contraseñas o engañar al usuario para que entregue sus credenciales, sino de aprovechar sesiones que ya están abiertas y mecanismos legítimos del navegador para obtener acceso a información sensible”.

El especialista de la firma detalló que este escenario representa un severo problema para las organizaciones, dado que el correo electrónico empresarial concentra conversaciones de carácter estratégico, documentos privados, listas de contactos y accesos a diversas herramientas internas.

El impacto corporativo de un ataque exitoso mediante la técnica STRD puede expandirse exponencialmente más allá de la bandeja de entrada del empleado afectado. De acuerdo con las conclusiones del equipo de investigación de Kaspersky, una cuenta comprometida tiene el potencial real de transformarse de inmediato en una puerta de acceso directo para actividades de espionaje, robo masivo de información corporativa y el lanzamiento de nuevas ofensivas dirigidas dentro de la infraestructura interna de la misma organización. Anteriormente, los analistas de la compañía de seguridad ya habían documentado con precisión otras campañas de ToddyCat orientadas al robo de datos confidenciales tanto desde navegadores web tradicionales como desde servicios de correo electrónico locales y alojados en la nube.

Para mitigar y neutralizar eficazmente estos riesgos emergentes, los especialistas de la empresa recomiendan aplicar pautas de protección esenciales. En primer lugar, se debe instruir a los trabajadores para cerrar obligatoriamente todas las sesiones que no se encuentren en uso, evitando dejar las cuentas corporativas abiertas permanentemente en los navegadores, en especial en equipos compartidos o de uso frecuente.

En segundo lugar, las empresas deben limitar drásticamente las funciones avanzadas e innecesarias del navegador Chromium, deshabilitando las herramientas de desarrollador para los empleados que no las requieran en sus labores cotidianas. Como tercer punto, se aconseja fortalecer los sistemas de detección implementando soluciones avanzadas como Kaspersky Next, que ofrece una visibilidad completa en tiempo real ante actividades sospechosas.

Finalmente, se sugiere buscar apoyo en servicios especializados de inteligencia contra amenazas, tales como Kaspersky Threat Intelligence, para optimizar las capacidades de respuesta ante incidentes complejos. Fundada en el año 1.997, Kaspersky protege hoy a más de 1’000.000.000 de dispositivos en el planeta y brinda servicios de ciberseguridad corporativa a cerca de 200.000 clientes empresariales en todo el mundo.

*En la creación de este texto se usaron herramientas de inteligencia artificial.

Redacción Vida y Futuro
Redacción Vida y Futuro
Equipo de analistas y periodistas especializados en temas de ciencia, tecnología, innovación, salud y medio ambiente.
RELATED ARTICLES

Most Popular

Recent Comments