- Uso de invitaciones de Google Classroom para enviar correos de phishing en cinco olas coordinadas.
- Más de 115.000 mensajes dirigidos a 13.500 organizaciones en Europa, Norteamérica, Oriente Medio y Asia.
- Señuelos comerciales y derivación a WhatsApp para evadir controles corporativos.
- Defensa en capas: formación, IA, y monitorización de apps cloud y colaboración.
Check Point Research ha destapado una ofensiva de phishing a gran escala que se apoya en Google Classroom, una plataforma que millones de estudiantes y docentes utilizan a diario y que goza de un alto nivel de confianza y recursos sobre cómo protegerse del phishing.
En apenas unos días, los atacantes lanzaron cinco tandas coordinadas con más de 115.000 correos maliciosos destinados a 13.500 organizaciones de múltiples sectores y regiones del mundo, incluidos usuarios de Google Workspace.
Cómo se apoyaron en Google Classroom para entrar
El vector principal consistió en invitaciones a clases falsas enviadas mediante la propia infraestructura de Classroom, lo que permitió que los mensajes se originaran desde un dominio legítimo de Google y pasaran con más facilidad los filtros basados en reputación del remitente. Si lo detectas, saber cómo informar un sitio a Google resulta útil.
Al recrear notificaciones verosímiles de la plataforma educativa, los correos parecían comunicaciones rutinarias, un aspecto que elevó la tasa de entrega a buzones corporativos antes de que entraran en juego defensas más profundas; por eso conviene proteger la cuenta de Google.
Señuelos usados y desvío a WhatsApp
En lugar de contenido académico, las invitaciones incluían ofertas comerciales sin relación con la enseñanza (como servicios de SEO o propuestas de reventa), con el objetivo de mover la conversación a un número de WhatsApp, una maniobra clásica para esquivar controles empresariales; por ello conviene saber cómo bloquear sitios web nocivos en Google Chrome.
Entre los ganchos observados figuraban mensajes del tipo “hemos revisado tu web” o promesas de “posicionarte en el top 3”, pretextos pensados para provocar respuesta rápida y sacar el intercambio a un canal menos vigilado.
Alcance geográfico y sectores en el punto de mira
La campaña apuntó a organizaciones en Europa, Norteamérica, Oriente Medio y Asia, abarcando diferentes industrias. Su coordinación fue notable: cinco oleadas entre el 6 y el 12 de agosto que llevaron el volumen de ataques a cifras inusuales en tan poco tiempo; si se detecta actividad masiva, saber cómo contactar a Google es recomendable.
El uso de una herramienta de colaboración masiva como Classroom permitió a los actores de amenaza amplificar el impacto con un esfuerzo inicial moderado, alcanzando segmentos muy diversos con un mismo ardid.
Por qué funcionó: confianza en servicios legítimos
Muchos sistemas aún otorgan confianza elevada a mensajes enviados desde servicios de Google, por lo que la campaña logró esquivar varias capas iniciales de seguridad de correo electrónico.
Este caso evidencia una tendencia al alza: explotar aplicaciones SaaS y plataformas cloud para operaciones de fraude que mezclan ingeniería social con infraestructuras de proveedores reputados.
Qué pueden hacer las empresas
Los investigadores recomiendan una defensa proactiva y en capas que combine personas, procesos y tecnología para reducir la superficie de ataque y cortar el fraude cuanto antes.
- Formación continua: enseñar a la plantilla a desconfiar de invitaciones inesperadas, aunque vengan de plataformas conocidas.
- Prevención avanzada con IA: adoptar soluciones capaces de analizar intención y contexto, más allá de la reputación del remitente.
- Protección extendida: llevar los controles anti-phishing a apps de colaboración, mensajería y SaaS, no solo al correo.
- Contener la ingeniería social: vigilar desvíos a canales externos como WhatsApp y aplicar políticas claras sobre su uso.
Además, conviene monitorizar de forma continua las integraciones cloud, revisar reglas de puerta de enlace y establecer mecanismos de reporte rápido para parar campañas en curso.
Detección y respuesta observadas en el incidente
Según los datos compartidos por Check Point, su tecnología Harmony Email & Collaboration (SmartPhish) bloqueó la mayor parte de los intentos, con medidas adicionales que impidieron que los restantes llegaran a usuarios finales.
La firma ha sido reconocida como líder en anti‑phishing por analistas del sector, un contexto que subraya la necesidad de pasar de un enfoque reactivo a una estrategia preventiva y multicapa.
El uso de Google Classroom como palanca para el fraude demuestra que hasta los servicios más confiables pueden ser manipulados; revisar políticas internas, reforzar la formación y apoyarse en detección basada en IA y telemetría cloud marca la diferencia entre un susto puntual y una brecha de mayores dimensiones.
