¿Sesión abierta en Gmail? Así es como el grupo APT ToddyCat hackea correos corporativos sin usar contraseñas
Imagínate esto: tienes tus contraseñas guardadas bajo llave, usas autenticación de doble factor (2FA) en todas partes y te consideras inmune a los ataques de phishing tradicionales. Te sientes seguro, ¿verdad? Pues resulta que hay una nueva amenaza que ni siquiera necesita saber tu contraseña para vaciar tu bandeja de entrada.
Kaspersky ha encendido las alarmas tras descubrir una sofisticada técnica utilizada por el grupo de ciberespionaje APT ToddyCat. ¿Su objetivo? Las cuentas corporativas de Gmail. ¿Su método? Aprovecharse de algo tan común y cotidiano como dejar la sesión de Gmail abierta en tu navegador.
A continuación, te contamos cómo funciona este ataque y qué puedes hacer para proteger los datos de tu empresa.
El ataque «invisible»: ¿Qué es Shadow Token via Remote Debug (STRD)?
La técnica ha sido bautizada por los investigadores como STRD (Shadow Token via Remote Debug), y afecta directamente a los navegadores basados en Chromium (como Google Chrome, Microsoft Edge, Opera, entre otros).
Cuando dejas tu cuenta de Gmail abierta, el navegador conserva una «llave digital» (tokens de sesión) para que no tengas que escribir tus credenciales cada vez que entras a revisar el correo. Es sumamente cómodo, pero también es la puerta que ToddyCat está empujando.
¿Cómo opera el malware Umbrij?
Para llevar a cabo este robo silencioso, el grupo APT utiliza un malware específico llamado Umbrij. Su modus operandi se divide en tres pasos críticos:
- La conexión oculta: El malware abre una conexión de depuración remota (Remote Debugging) en el navegador. Esta es una función legítima que los desarrolladores web utilizan para hacer pruebas, pero aquí se usa para controlar el navegador en las sombras.
- Suplantación de identidad: Aprovechando que la sesión de Gmail ya está activa y autenticada en el navegador de la víctima, el atacante envía solicitudes directamente a las APIs de Google como si fuera el propio usuario.
- El «clic» fantasma: El malware solicita permisos de acceso amplios (leer correos, ver archivos en Drive, descargar contactos empresariales) y aprueba automáticamente la ventana de consentimiento haciendo clic en «Permitir» sin que el usuario se dé cuenta.
Con esto, los atacantes obtienen un token de acceso legítimo que les permite revisar la información corporativa desde sus propios servidores, de manera persistente y sin levantar sospechas.
«Ya no se trata únicamente de robar contraseñas o engañar al usuario para que entregue sus credenciales, sino de aprovechar sesiones que ya están abiertas y mecanismos legítimos del navegador para obtener acceso a información sensible».
— Leandro Cuozzo, Investigador de seguridad para América Latina en el GReAT de Kaspersky.
¿Por qué las empresas deberían preocuparse?
El correo electrónico corporativo no es solo un buzón de mensajes; es el nodo central de la comunicación estratégica de cualquier negocio. A través de Gmail fluyen contratos, conversaciones confidenciales, accesos a otras herramientas internas y bases de datos de clientes.
Si un atacante logra acceso mediante la técnica STRD, el impacto va mucho más allá de un correo comprometido: puede convertirse en la base perfecta para campañas de espionaje industrial, robo de información masiva o ataques de suplantación de identidad internos mucho más graves.
Guía de supervivencia: ¿Cómo proteger tu empresa de esta amenaza?
La prevención en este tipo de ataques no depende únicamente de tener contraseñas robustas. Kaspersky recomienda adoptar de inmediato las siguientes medidas de higiene digital y configuración de sistemas:
- Cierra sesión de forma proactiva: Evita dejar las cuentas corporativas abiertas indefinidamente en los navegadores. Acostumbra a tu equipo a cerrar sesión al final de la jornada laboral, especialmente en dispositivos compartidos o portátiles de uso frecuente.
- Limita las funciones de desarrollador: A nivel de administración de TI, se deben revisar y restringir las políticas de grupo en navegadores Chromium. Si tus empleados no son programadores, no hay razón para que tengan habilitadas las herramientas de depuración remota o las funciones de desarrollador.
- Fortalece la visibilidad y detección: Utiliza soluciones de seguridad avanzadas (como Kaspersky Next) que analicen el comportamiento del sistema en tiempo real. Esto permite identificar comportamientos inusuales del navegador (como la apertura de puertos de depuración de manera sospechosa) antes de que el ataque se consolide.
- Apóyate en Inteligencia de Amenazas: Para las organizaciones que manejan datos extremadamente sensibles y no cuentan con un equipo de ciberseguridad dedicado las 24 horas, delegar el monitoreo en servicios de respuesta ante incidentes e inteligencia de amenazas (Threat Intelligence) puede marcar la diferencia entre detener una brecha a tiempo o enterarse meses después.
