La estafa que empieza en el correo de Gmail y termina vaciando la cuenta bancaria
Los expertos en ciberseguridad encendieron las alarmas ante una modalidad de engaño que está creciendo y que resulta especialmente peligrosa porque está diseñada para parecer completamente legítima. El blanco son los usuarios de Gmail, y el anzuelo es un correo que en apariencia viene del propio equipo de soporte de Google.
La trampa está tan bien construida que muchas personas la dan por válida sin sospechar nada. Y para cuando se dan cuenta de lo que pasó, los atacantes ya tienen acceso a mucho más que una simple cuenta de correo.
Cómo funciona el engaño paso a paso
Todo empieza con un mensaje en la bandeja de entrada. El correo llega con el aspecto visual de una comunicación oficial de Gmail y advierte sobre algo urgente: un supuesto intento de acceso no autorizado a la cuenta, un bloqueo preventivo inminente o una alerta de seguridad que requiere verificación inmediata. El tono es alarmante por diseño, porque el objetivo es que la persona actúe rápido, sin detenerse a analizar.
Dentro del mensaje hay un enlace para resolver el problema. Al hacer clic, la víctima llega a una página que es una copia visual casi perfecta del sitio oficial de Google: los colores, el logo, la tipografía, todo está replicado para generar confianza. Ahí se le pide que ingrese su correo y su contraseña para verificar su identidad o recuperar el acceso.
En ese momento, sin saberlo, la persona está entregando sus credenciales directamente a los delincuentes.
Lo que viene después es peor
Una vez que los atacantes tienen el usuario y la contraseña de Gmail, el daño no se limita al correo. Desde una cuenta de Google se puede acceder a un mundo de información y servicios vinculados: contraseñas guardadas en el navegador, cuentas de redes sociales, plataformas de compras en línea, y en muchos casos acceso directo a aplicaciones bancarias o billeteras digitales que usan ese mismo correo para iniciar sesión o recuperar contraseñas.
Los delincuentes también pueden usar la cuenta comprometida como plataforma para seguir propagando la estafa, enviando el mismo correo fraudulento a todos los contactos de la víctima con una dirección que ahora sí parece confiable porque viene de alguien conocido.
Las señales que delatan el engaño
Hay varias pistas que permiten identificar este tipo de correos antes de caer en la trampa. La primera y más importante es el remitente: Google solo envía comunicaciones desde direcciones que terminan en @google.com. Cualquier variación, por mínima que sea, es señal de alerta.
También hay que prestar atención al tono del mensaje. Los correos fraudulentos casi siempre crean una sensación de urgencia artificial con frases como «su cuenta será suspendida en 24 horas» o «actúe ahora para evitar el bloqueo permanente». Esa presión es una técnica deliberada para que la persona no se detenga a pensar.
Otros indicadores de alerta son los errores ortográficos o gramaticales dentro del mensaje, las direcciones web extrañas o con pequeñas variaciones en el nombre del dominio al pasar el cursor sobre el enlace, y cualquier solicitud de contraseñas, códigos de verificación o datos personales. Google nunca pide ese tipo de información por correo electrónico, bajo ninguna circunstancia.
Qué hacer si llega un correo así
Lo primero es no hacer clic en ningún enlace y no ingresar ningún dato. Si el correo ya llegó a la bandeja de entrada, la recomendación es reportarlo como phishing directamente desde Gmail, lo que ayuda a que el sistema identifique y bloquee ese tipo de mensajes para otros usuarios.
Si la persona ya ingresó sus datos antes de darse cuenta del engaño, lo más urgente es cambiar la contraseña de inmediato desde otro dispositivo o red y revisar qué otros servicios están vinculados a esa cuenta para protegerlos también.
Las medidas que reducen el riesgo
La herramienta más efectiva para protegerse de este tipo de ataques es la verificación en dos pasos, también conocida como autenticación de dos factores o 2FA. Con esta función activada, aunque un delincuente consiga la contraseña, no puede ingresar a la cuenta sin un segundo código que solo llega al teléfono del dueño de la cuenta. Es un paso sencillo de configurar y marca una diferencia enorme.
Además de eso, los expertos recomiendan usar contraseñas únicas para cada plataforma, es decir, no repetir la misma clave en distintos servicios, revisar periódicamente qué dispositivos tienen acceso activo a la cuenta de Google y desconectar los que no se reconozcan, y mantener activadas las alertas de seguridad para recibir notificaciones cada vez que alguien intente entrar desde un lugar o dispositivo desconocido.
En Costa Rica, donde el uso de Gmail está generalizado tanto para uso personal como laboral, este tipo de estafas representan un riesgo real y creciente. La mejor defensa sigue siendo la misma de siempre: desconfiar de cualquier mensaje que pida actuar de inmediato, verificar antes de hacer clic y nunca ingresar contraseñas en páginas a las que se llegó a través de un enlace recibido por correo.
