CERT Polska lleva varios meses siguiendo una campaña de phishing intensificada de UNC1151, el grupo vinculado a Bielorrusia también conocido como Ghostwriter. Desde marzo de 2026, el grupo desplazó su enfoque histórico en proveedores de correo web polacos como Onet, Wirtualna Polska e Interia hacia cuentas de Gmail, operando la campaña con alta intensidad los días laborables y registrando dominios de phishing nuevos casi todos los días. La campaña roba contraseñas y códigos de autenticación de dos factores en el mismo paso, y lo hace sin necesitar jamás falsificar un dominio que DMARC pudiera detectar.
Cómo Funciona la Campaña
El señuelo es un falso aviso de administrador de Gmail, escrito en polaco fluido y sin errores, que advierte al destinatario de actividad sospechosa en la cuenta o de una violación de los términos de servicio. CERT Polska encontró que los atacantes envían estos mensajes desde cuentas de Gmail recién creadas con nombres diseñados para parecer oficiales, como [email protected] o [email protected], y desde cuentas legítimas comprometidas con el nombre de visualización alterado para encajar. En lugar de dirigirse directamente a las víctimas, muchos mensajes se envían por CCO, manteniendo las listas de destinatarios ocultas entre sí y ante una inspección casual. El enlace del mensaje lleva a un dominio de phishing, con frecuencia registrado bajo .icu, .digital o .top, o alojado como subdominio en una plataforma gratuita como Netlify, con nombres como mailverify.digital, verify-check.digital o monitoring-google-konta.netlify.app. Como estos dominios rotan a diario, las listas de bloqueo construidas con los indicadores de ayer ya están desactualizadas para cuando se actualizan.
Una Retransmisión en Tiempo Real Vence al Segundo Factor
Lo que distingue a esta ola de una simple página de robo de credenciales es lo que ocurre después de que la víctima escribe su contraseña. La página de phishing abre una conexión websocket en segundo plano hacia la infraestructura del atacante y transmite todo lo que se escribe en la página en el instante en que se teclea. Cuando la cuenta de Google de la víctima solicita un código de un solo uso o una confirmación de app autenticadora, el backend del atacante retransmite esa solicitud a la página falsa en tiempo real, la víctima ingresa el código creyendo que está completando un inicio de sesión rutinario, y el código se reenvía a Google antes de que expire. Es la misma lógica de intermediario (adversary-in-the-middle) que ha impulsado las campañas de toma de cuenta durante todo el año, pero Ghostwriter la está ejecutando directamente contra Gmail, a gran volumen, con infraestructura nueva apareciendo a diario para mantenerse por delante de los esfuerzos de desactivación. Una vez dentro, UNC1151 recolecta sistemáticamente listas de contactos para la siguiente ronda de objetivos, documentos sensibles y acceso a cualquier cuenta de redes sociales vinculada, y luego avanza hacia las conexiones profesionales, familiares y sociales de la víctima.
Quién Está Siendo Objetivo
Los datos de focalización de CERT Polska apuntan claramente a personas cuyas bandejas de entrada tienen valor político y estratégico: políticos, funcionarios públicos, investigadores de seguridad, periodistas, personal de las fuerzas del orden y empleados de la administración pública, junto con sus familias y contactos cercanos. Reportes independientes de The Record, de Recorded Future, han documentado al mismo grupo apuntando a las cuentas personales de Gmail de políticos bielorrusos prodemocracia y sus familiares, en línea con el historial de Ghostwriter de operaciones alineadas con intereses estatales en la región.
Por Qué DMARC Nunca Estuvo en Posición de Detener Esto
Vale la pena precisar qué cubre y qué no cubre DMARC aquí, porque esta campaña queda casi por completo fuera de su alcance. DMARC permite que el propietario de un dominio declare qué servidores de correo están autorizados a enviar en nombre de ese dominio, y permite que los receptores rechacen o pongan en cuarentena el correo que no logre demostrar que proviene de uno de ellos. Cuando UNC1151 envía un señuelo desde una cuenta de Gmail genuina y recién creada, ese correo es exactamente lo que dice ser: un mensaje real desde una dirección real de Gmail, autenticado correctamente por la propia infraestructura de Google. No hay ningún dominio falsificado que DMARC pueda detectar, porque no se está suplantando a Google. Cuando la campaña usa en cambio un dominio recién registrado bajo .icu o .digital, o un subdominio de Netlify, el DMARC de ese dominio (si el atacante se molesta en configurarlo) también pasará limpiamente, ya que el atacante es dueño absoluto de la infraestructura de envío. DMARC protege a un dominio de ser suplantado por otra persona. No tiene nada que decir sobre un mensaje enviado desde una cuenta o dominio que el atacante realmente controla, y no tiene ninguna visibilidad sobre lo que ocurre en la página de destino después del clic, que es donde ocurre el daño real de esta campaña: la retransmisión por websocket contra el segundo factor.
Qué Deben Hacer los Defensores
Migrar hacia autenticación resistente al phishing. Las llaves de seguridad FIDO2 y las passkeys no son vulnerables a la retransmisión en tiempo real de la forma en que lo son los códigos SMS y los avisos TOTP, porque la prueba criptográfica está vinculada al dominio de origen. Una página de retransmisión no puede reenviar una prueba que no puede falsificar.
Tratar los correos de “seguridad de Gmail” enviados desde direcciones de Gmail como intrínsecamente sospechosos. Google no envía avisos de seguridad de cuenta desde direcciones personales @gmail.com. Esa discordancia por sí sola es una señal confiable que la capacitación de usuarios puede detectar incluso cuando el mensaje es fluido y sin errores.
Vigilar dominios similares recién registrados en sus fuentes de inteligencia de amenazas, en particular los que combinan “google”, “gmail”, “verify” o “security” con TLD volátiles como .icu, .digital o .top, y presentar solicitudes de desactivación rápidamente, ya que la infraestructura de este actor rota a diario.
Mantener la aplicación de DMARC para lo que sí cubre. Nada de esto es un argumento en contra de DMARC. Sigue siendo el control correcto contra alguien que falsifica el propio dominio de su organización, y cada dominio que su organización posea, incluidos los que no usa activamente para enviar correo, debería seguir bloqueado en p=reject. Simplemente no es la herramienta para esta campaña en particular.
La Conclusión
La campaña de Gmail de Ghostwriter es un recordatorio de que las operaciones de phishing más peligrosas cada vez más evitan por completo la autenticación de correo en lugar de intentar vencerla. Un mensaje enviado desde una cuenta genuina, a una bandeja de entrada real, seguido de una página de destino que retransmite un segundo factor robado en tiempo real, se autentica perfectamente en cada paso que verifica DMARC, porque nada en la infraestructura de envío es fraudulento. El fraude ocurre por completo después del clic. Defenderse de esto requiere credenciales resistentes al phishing e inteligencia de dominios que se mueva rápido, junto con la aplicación de DMARC, no en su lugar.
Excello Mail le da visibilidad continua sobre sus reportes agregados de DMARC y sus fuentes de envío, para que siempre sepa qué se está autenticando como su propio dominio mientras su equipo construye el resto de sus defensas. Regístrese gratis en Excello Mail para mantener esa visibilidad en su lugar.