Alerta por campaña de phishing que abusa de Google Classroom

Última actualización: agosto 27, 2025
Autor: Alberto Navarro
  • Campaña masiva: 115.000 correos en cinco tandas dirigidos a 13.500 empresas a nivel global.
  • Señuelo: invitaciones falsas de Google Classroom con ofertas comerciales y desvío a WhatsApp.
  • Evasión: uso de dominios legítimos de Google para sortear filtros y llegar a buzones corporativos.
  • Defensa: formación, prevención basada en IA y monitorización de apps en la nube como enfoque en capas.

Alerta de phishing en plataforma educativa

Check Point Research ha destapado una operación de phishing a gran escala que se aprovechó de Google Classroom, un servicio ampliamente utilizado en entornos educativos, para colarse en redes corporativas de múltiples sectores.

En apenas una semana, los atacantes ejecutaron cinco tandas sincronizadas que enviaron más de 115.000 mensajes fraudulentos a unas 13.500 organizaciones de Europa, Norteamérica, Oriente Medio y Asia, explotando la confianza en notificaciones legítimas de Google.

Cómo operó la campaña

El vector principal fueron invitaciones falsas para unirse a aulas de Classroom que imitaban el flujo real de la plataforma, lo que dotaba a los correos de apariencia y metadatos legítimos.

Según los investigadores, la actividad se concentró en cinco oleadas entre el 6 y el 12 de agosto, con un alto nivel de coordinación para maximizar alcance y probar la resistencia de las defensas por capas.

Los mensajes partían de dominios válidos de Google, una circunstancia que incrementa la probabilidad de superar puertas de enlace de correo basadas en reputación y reglas estándar.

La campaña cruzó fronteras e industrias, impactando a compañías de múltiples sectores y regiones, lo que evidencia la facilidad con la que un servicio de uso masivo puede amplificar el radio de ataque.

Por qué burló tantos filtros

Numerosos sistemas de seguridad tienden a otorgar confianza a tráfico originado en servicios de Google; al integrarse con el mecanismo nativo de Classroom, los correos aparentaban ser comunicaciones de rutina.

  ¿Cómo puedo ver los videos que he eliminado en YouTube?

Este caso refuerza una tendencia: los ciberdelincuentes están explotando aplicaciones SaaS y plataformas cloud para alojar o canalizar sus ataques, desplazándose a entornos que las organizaciones suelen considerar seguros.

El uso de una infraestructura conocida redujo las señales típicas de alerta y permitió que algunos mensajes alcanzaran buzones corporativos antes de que las contramedidas entraran en acción.

Señuelos y tácticas de ingeniería social

En lugar de contenido académico, las invitaciones incluían ofertas comerciales sin relación con la educación, desde reventa de productos hasta supuestos servicios de posicionamiento SEO.

El objetivo real era mover la conversación a WhatsApp, un canal externo menos supervisado en el entorno empresarial y habitual en fraudes para eludir las políticas de la organización.

Entre los anzuelo detectados figuraban mensajes del tipo: “hemos revisado su web y tu SEO no rinde…”, diseñados para provocar respuesta rápida y canalizar al usuario fuera del correo corporativo.

Con esta estrategia, los atacantes lograron gran alcance con bajo esfuerzo inicial, reutilizando un flujo legítimo (invitaciones a clase) para sembrar señuelos masivos.

Alcance y cronología del ataque

La operación distribuyó más de 115.000 correos en cuestión de días y afectó a unas 13.500 empresas, con impacto reportado en Europa, Norteamérica, Oriente Medio y Asia.

El patrón operativo en cinco oleadas permitió medir respuestas defensivas, ajustar señuelos y perseverar en la entrega hasta agotar las ventanas de oportunidad.

Recomendaciones para las organizaciones

Los expertos abogan por una estrategia en capas y proactiva que combine tecnología, procesos y capacitación continua, así como guías para frente a campañas que se mimetizan con el tráfico legítimo.

  • Formación constante para que los empleados desconfíen de invitaciones inesperadas, incluso procedentes de plataformas conocidas.
  • Prevención avanzada con IA capaz de analizar contexto e intención, y no solo la reputación del remitente o el dominio.
  • Extender la protección más allá del correo: cubrir herramientas de colaboración, mensajería y otros servicios SaaS.
  • Concienciación sobre desvíos a canales externos (como WhatsApp), típicos en tácticas de ingeniería social.
  ¿Cómo puedo utilizar Google Photos en mi ordenador?

Asimismo, es recomendable monitorizar aplicaciones en la nube, activar protección contra phishing en endpoints e integrar señales de riesgo entre correo, colaboración y endpoints para cortar la cadena de ataque.

Respuesta defensiva y contexto del mercado

Check Point indicó que su tecnología SmartPhish de Harmony Email & Collaboration bloqueó la mayoría de los intentos detectados, con defensas adicionales impidiendo la llegada del resto.

La compañía ha sido reconocida como líder en el GigaOm Radar for Anti-Phishing, un hito que se enmarca en la creciente competencia por detectar fraudes que se ocultan tras servicios confiables.

Más allá de proveedores concretos, el incidente pone el foco en la evolución desde lo reactivo a lo preventivo: anticiparse a patrones que explotan infraestructuras legítimas será clave para reducir superficie de ataque.

El caso ilustra cómo servicios de alta confianza pueden ser manipulados para campañas globales; combinar tecnología de detección contextual, capacitación y políticas que contemplen el abuso de SaaS resulta esencial para cortar estos fraudes antes de que prosperen.

Qué es Phishing foto
Artículo relacionado:
¿Qué es Phishing?