Google, junto con Mandiant y otros colaboradores, consiguió desactivar una campaña de ciberespionaje que había estado operando al menos desde 2023 y que, según sus investigaciones, afectó a decenas de organizaciones en todo el mundo. La amenaza se atribuye a un actor al que Google identifica internamente como UNC2814, y las víctimas reportadas superan las 50 entidades distribuidas en más de 40 países, con indicios de infecciones adicionales en unas 20 naciones más.
Lo que hace especialmente ingenioso —y peligroso— a este ataque es el uso de servicios legítimos en la nube como canal de mando y control. En este caso los atacantes desarrollaron un backdoor escrito en C que aprovecha la API de Google Sheets para comunicarse con sus operadores y ocultar tráfico malicioso entre llamadas a un servicio aparentemente inocuo. Usar APIs de SaaS como vehículo de C2 reduce el ruido y dificulta la detección por las herramientas de monitorización web convencionales, porque el tráfico parece corresponder a actividad legítima de Google.
La descripción técnica que han publicado los investigadores explica que el malware —bautizado como GRIDTIDE— se autentica con una cuenta de servicio de Google mediante una clave privada incrustada en el binario. Al iniciarse, la muestra limpia la hoja utilizada para las comunicaciones, borrando un gran bloque de filas y columnas para dejarla lista como canal. Luego recoge datos del equipo comprometido —usuario, nombre del equipo, versión del sistema operativo, IP local, configuración regional y zona horaria— y los escribe en una celda concreta. La celda A1 actúa como la casilla de control: el malware la consulta continuamente para recibir órdenes y responde con un estado cuando ha procesado las instrucciones.
El protocolo de trabajo que describe Google incluye un comportamiento de sondeo pensado para reducir la probabilidad de ser detectado: si la celda de comandos está vacía, el cliente intenta leerla cada segundo durante un tiempo prudente y después cambia a comprobaciones espaciadas aleatoriamente en intervalos de varios minutos. Las órdenes que acepta GRIDTIDE incluyen la ejecución de comandos codificados en Base64 en un intérprete de shell, la lectura de archivos locales para enviarlos fragmentados a la hoja y la reconstrucción de archivos subidos desde las celdas de la hoja. Para empaquetar la información los operadores usan un esquema de Base64 compatible con URLs, lo que a ojos de muchas herramientas se mezcla con tráfico normal.
Este tipo de técnicas —aprovechar servicios en la nube y APIs públicas para C2— no es nuevo, pero su uso por actores hasta ahora dirigidos a infraestructuras críticas y operadores de telecomunicaciones eleva la preocupación. Google y sus aliados señalan que la cadena exacta de cómo obtuvieron el primer acceso en esta campaña todavía no está clara, aunque UNC2814 tiene historial de comprometer servidores web y dispositivos de borde explotando vulnerabilidades conocidas.
La respuesta fue coordinada y contundente: los equipos involucrados revocaron accesos, desactivaron proyectos de Google Cloud vinculados al actor, cancelaron las credenciales de la API de Google Sheets utilizadas en las operaciones y neutralizaron la infraestructura conocida, incluyendo sinkholes para dominios vinculados a la campaña. Además, las organizaciones afectadas fueron contactadas directamente para ofrecer soporte en la limpieza de las intrusiones. Las acciones evitaron que el canal de Sheets siguiera siendo útil para el actor, pero los investigadores advierten que es muy probable que el grupo reemprenda operaciones con nueva infraestructura.
La publicación técnica de Google incluye reglas de detección e indicadores de compromiso que los equipos de seguridad pueden usar para buscar rastros de GRIDTIDE en sus entornos. Para quienes gestionan entornos en la nube, el incidente es un recordatorio para revisar prácticas como la gestión de cuentas de servicio, la rotación de claves y la asignación de permisos mínimos necesarios. También es recomendable monitorizar patrones anómalos de uso de APIs —por ejemplo, escrituras y lecturas atípicas en hojas o tráfico con contenido codificado que no se corresponde con actividad legítima— y tener alertas para usos de cuentas de servicio fuera de lo habitual.
Si quieres profundizar en la investigación y en los detalles técnicos, el informe de Google sobre la interrupción de la campaña está disponible en el blog de Google Cloud: Disrupting GRIDTIDE: global espionage campaign. Para contextualizar la amenaza a la práctica de abusar de APIs y servicios cloud puedes revisar la documentación oficial de las APIs implicadas, como la Google Sheets API y la guía sobre cuentas de servicio en Google Cloud. Un artículo de prensa técnica que cubrió la noticia y su alcance ofrece una síntesis accesible para no especialistas: BleepingComputer — Google disrupts GRIDTIDE. También resulta útil revisar marcos de referencia como MITRE ATT&CK para entender cómo encaja este tipo de C2 en técnicas conocidas: T1071 – Application Layer Protocol.
Más allá de la respuesta inmediata, la lección para empresas y administradores es clara: las plataformas en la nube y las APIs públicas ofrecen ventajas enormes, pero también pueden ser utilizadas como canales encubiertos por actores sofisticados. La seguridad en la nube requiere no sólo controles perimetrales tradicionales, sino visibilidad y telemetría específicas sobre el uso de APIs y credenciales, así como planes de respuesta que puedan anular rápidamente accesos comprometidos y coordinarse con proveedores cuando se detecta abuso.
Mientras tanto, los equipos de inteligencia y respuesta seguirán vigilando el movimiento de UNC2814 y otros grupos que recurren a técnicas similares. En un mundo donde el ecosistema cloud es ubicuo, la habilidad para detectar patrones atípicos en servicios legítimos y para actuar de forma colaborativa entre proveedores y víctimas será cada vez más determinante para contener este tipo de campañas.
Si administras entornos empresariales, revisa las referencias oficiales y comparte las IoC y reglas de detección proporcionadas por Google con tu equipo de seguridad para evaluar si hubo exposición en tus sistemas y, en caso necesario, solicitar apoyo especializado.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...