Campaña de phishing sofisticada utiliza anuncios falsos de Semrush para robar credenciales de Google
Recientemente, se ha identificado una campaña de phishing altamente sofisticada que utiliza anuncios falsos de la plataforma de análisis SEO Semrush para engañar a los usuarios y robar sus credenciales de Google. Este ataque demuestra un nivel avanzado de ingeniería social y técnicas de evasión, lo que lo convierte en una amenaza significativa para empresas y profesionales del marketing digital.
Mecanismo del ataque
Los ciberdelincuentes han creado anuncios patrocinados en motores de búsqueda que imitan a Semrush, una herramienta legítima utilizada por especialistas en SEO. Estos anuncios redirigen a los usuarios a sitios web fraudulentos diseñados para parecerse al portal de inicio de sesión de Semrush. Una vez allí, se solicita a las víctimas que inicien sesión con sus credenciales de Google bajo el pretexto de acceder a una prueba gratuita o una oferta exclusiva.
- Los dominios utilizados son muy similares a los oficiales (ejemplo: semrush[.]com vs sem-rush[.]com).
- Las páginas de phishing replican el diseño, logotipos y formularios de Semrush con gran precisión.
- Al introducir las credenciales, estas son capturadas por los atacantes en tiempo real.
Técnicas avanzadas de evasión
Lo que hace particularmente peligrosa esta campaña es el uso de múltiples capas de evasión:
- Los servidores maliciosos emplean certificados SSL válidos para simular legitimidad.
- Utilizan redireccionamientos encadenados para dificultar el rastreo.
- Implementan filtros geográficos para mostrar contenido diferente según la ubicación del objetivo.
- Los ataques están dirigidos principalmente a usuarios corporativos con acceso a herramientas de marketing digital.
Implicaciones de seguridad
El robo de credenciales de Google tiene graves consecuencias, ya que muchas organizaciones utilizan Google Workspace para:
- Correo electrónico corporativo
- Almacenamiento en la nube (Google Drive)
- Documentos colaborativos (Docs, Sheets)
- Acceso a otras aplicaciones empresariales integradas
Una vez comprometidas estas credenciales, los atacantes podrían:
- Acceder a información confidencial
- Realizar ataques BEC (Business Email Compromise)
- Propagar malware dentro de la organización
- Suplantar identidades para fraudes financieros
Medidas de protección recomendadas
Para mitigar este tipo de amenazas, se recomienda:
- Verificar siempre la URL exacta antes de introducir credenciales
- Habilitar autenticación multifactor (MFA) en todas las cuentas corporativas
- Utilizar soluciones de seguridad de correo electrónico que detecten enlaces maliciosos
- Implementar políticas de Zero Trust para accesos críticos
- Capacitar a los empleados sobre amenazas de phishing específicas del sector
Esta campaña demuestra cómo los actores maliciosos continúan refinando sus técnicas para aprovecharse de la confianza en marcas conocidas y plataformas ampliamente utilizadas. Mantener una postura de seguridad proactiva es esencial para prevenir estos ataques.
