Últimas novedades en tecnología, internet, redes sociales y marketing digital
Últimas novedades en tecnología, internet, redes sociales y marketing digital
Recuerdo cuando me llegó el primer correo falso del “banco”. Tenía faltas de ortografía y un remitente absurdo. Hoy, los ciberdelincuentes han afinado tanto sus técnicas que ya no necesitan errores garrafales. De hecho, ahora pueden lograr que sea el propio Google quien ponga su sello de confianza en un archivo malicioso. Y no, no es ciencia ficción, es una falla de arquitectura confirmada que afecta a 3 mil millones de usuarios de Gmail y a 1.000 millones de usuarios activos de Google Drive.
El investigador Ben Ilkashi, de Pentera Labs, publicó un informe que es como una película de suspense tecnológico. Descubrió que podía subir a Google Drive un archivo que Gmail ya había marcado como “virus detectado” (en su prueba, un ransomware con cifrado XOR que busca un archivo llamado encrypt-me.txt). ¿El problema? Drive no lo detectó como malicioso ahí arriba.
Luego, Ilkashi insertó el enlace de Drive en un nuevo correo de Gmail. ¿El resultado? Gmail, confiando implícitamente en que todo lo que viene de su “hermano” Drive ya está verificado, no volvió a escanear el archivo. El correo salió volando acompañado de la engañosa leyenda: “Escaneado por Gmail”.
Ilkashi lo llama el “Santo Grial de los ataques de phishing”. Y no le falta razón. Según el Informe de Ciberseguridad 2025 de Verizon, el 94% del malware se distribuye por correo electrónico. Pero de todos esos, los que logran engañar a la víctima son aquellos que logran construir confianza. ¿Qué mejor forma de confianza que un sello de verificación azul de Google?
Para que te hagas una idea, un estudio del Anti-Phishing Working Group (APWG) de enero de 2026 reveló que los ataques de phishing crecieron un 48% durante el último trimestre de 2025, coincidiendo con las fiestas navideñas. Ahora imagina que uno de esos ataques llega con el respaldo visual de Google: las tasas de clics se dispararían.
Una portavoz de Google dijo que “proteger a los usuarios de Workspace es nuestra prioridad” y que “Gmail y Drive bloquean automáticamente la gran mayoría de los archivos maliciosos”. Lo admito: eso es cierto en condiciones normales. Pero el problema, como demuestra Ilkashi, es que el desajuste arquitectónico entre los dos escáneres (Gmail bloquea, Drive a veces no) es explotable aquí y ahora.
Google también confirmó que el problema fue reportado a través del programa Bug Hunters el 14 de diciembre de 2025 y que era un duplicado de un “problema rastreado internamente”. El 22 de enero de 2026, el equipo de Trust & Safety dijo que no había una fecha para una solución. Esto es grave. Mientras tanto, la única medida prometida es actualizar la interfaz para aclarar cómo se muestran las comprobaciones de seguridad… algo que no resuelve el fallo subyacente.
Como usuario, esto me preocupa. Porque si el propio sistema de seguridad te engaña, ¿en quién confías? He recopilado algunos consejos prácticos basados en el propio informe y en recomendaciones de expertos como los del Instituto Nacional de Ciberseguridad de España (INCIBE):
Mientras escribo esto, recuerdo la máxima de la seguridad informática: la confianza es una vulnerabilidad. Esta falla de Google es la prueba número 3.000 millones. No esperes a que usen tu cuenta para enviar ransomware a todos tus contactos. Comparte este artículo, actúa con precaución y exige a Google una solución ya.
A propósito de vulnerabilidades y de actualizaciones, aprovecho de recomendarte que leas sobre las actualizaciones de seguridad que debes aplicar a tu teléfono Android.
Por: Roberto Maldonado C.
