Alerta sobre Task Scam: Nueva ola de fraudes explota notificaciones de Google Tasks contra credenciales corporativas

Se ha identificado recientemente una nueva campaña de phishing sofisticada que explota el servicio Google Tasks, una herramienta ampliamente confiable en las empresas. En esta estafa, los ciberdelincuentes secuestran las notificaciones legítimas de esta plataforma para engañar a los empleados y que revelen sus credenciales de acceso, poniendo en riesgo los sistemas internos de las compañías. Kaspersky, líder global en ciberseguridad, descubrió esta fraude que abusa del dominio oficial @google.com para evadir los filtros de seguridad tradicionales.

Cómo funciona la estafa de Task Scam: Aprovechando la confianza en herramientas legítimas

La estafa de Task Scam sigue una estructura clara y calculada. Los atacantes envían notificaciones que parecen originadas en Google Tasks, con el mensaje “Tienes una nueva tarea” en el asunto. El contenido creado es engañosamente realista, simulando que la organización de la víctima ha adoptado el sistema de gestión de tareas de Google como herramienta corporativa oficial.

Para aumentar la sensación de urgencia, los criminales incluyen marcadores de alta prioridad y plazos ajustados en las notificaciones, una presión psicológica que reduce el pensamiento crítico del empleado. Cuando el usuario hace clic en el enlace incluido en este mensaje fraudulento, es dirigido a una página falsa disfrazada como un formulario de “verificación de empleado”.

Este formulario falso solicita que el usuario ingrese sus datos de acceso corporativos bajo el pretexto de confirmar su estado en la empresa. Una vez capturados, estas credenciales se convierten en una puerta de entrada para accesos no autorizados a servidores, robo de datos sensibles y posibles ataques encadenados contra la infraestructura corporativa.

Ingeniería social en la era del Task Scam: Por qué los empleados caen en las trampas

El éxito del Task Scam radica en su inteligente explotación de la ingeniería social. A diferencia del phishing común, este fraude aprovecha la familiaridad absoluta de los usuarios con el ecosistema de Google. Como muchos colaboradores ya usan Gmail, Google Drive y otras herramientas de la gigante tecnológica, el impulso natural es confiar en notificaciones que llegan del dominio @google.com.

Kaspersky observa que, dado que estas notificaciones provienen de dominios legítimos, naturalmente superan muchos de los filtros de spam y detección de phishing convencionales. El criminal complementa esta táctica insertando elementos que parecen pertenecer a procesos internos de la empresa — lenguaje corporativo específico, formatos conocidos, incluso alusiones a políticas internas — reduciendo drásticamente la desconfianza de la víctima.

Roman Dedenok, especialista en anti-spam de Kaspersky, comenta: “La ingeniería social detrás del Task Scam aprovecha la velocidad de las empresas modernas y la confianza en servicios en la nube establecidos. Hacer que parezca un proceso interno de la empresa es particularmente efectivo porque suprime el sentido crítico de los empleados en ese momento.”

Protección contra el Task Scam: Estrategias esenciales de seguridad corporativa

Frente a esta amenaza en evolución, las organizaciones deben implementar múltiples capas de defensa. En primer lugar, toda invitación o notificación no solicitada debe ser tratada con extrema sospecha, independientemente de su apariencia de origen legítimo. Los empleados deben verificar cuidadosamente las URLs antes de hacer clic, evitando así redireccionamientos a páginas fraudulentas.

Una práctica importante es nunca llamar a los números de teléfono proporcionados en correos sospechosos; si es necesario contactar con un servicio, lo ideal es buscar el número oficialmente listado en el sitio web de la empresa. Toda actividad sospechosa debe ser reportada inmediatamente al departamento de TI y al proveedor de la plataforma.

A nivel corporativo, la autenticación multifactor (MFA) en todas las cuentas representa un escudo valioso, dificultando significativamente que los criminales exploten credenciales capturadas. Las políticas de seguridad deben actualizarse regularmente para reflejar estas nuevas tácticas.

Soluciones especializadas contra el Task Scam

Para proteger a los usuarios corporativos, Kaspersky ofrece soluciones como Kaspersky Security for Mail Server, que implementa mecanismos de defensa en múltiples capas alimentados por algoritmos de aprendizaje automático. Estos sistemas pueden detectar patrones de comportamiento sospechoso y phishing incluso cuando los ataques logran sortear los filtros tradicionales.

Para usuarios individuales, Kaspersky Premium ofrece funciones de anti-phishing basadas en inteligencia artificial, diseñadas específicamente para ayudar a evitar ataques como el Task Scam y fortalecer la ciberseguridad en general.

El contexto más amplio revela que los criminales siguen explotando plataformas legítimas como vehículos para fraudes. El Task Scam es solo un ejemplo de la tendencia que se intensificará en 2026, donde los cibercriminales reciclan y adaptan sus tácticas para abusar de los ecosistemas confiables que miles de millones de personas utilizan a diario.