Lo más preocupante, según los investigadores, es que este servicio web incluye un relevo por WebSocket que permite ejecutar peticiones HTTP desde el navegador de la víctima con cualquier método, cabeceras y credenciales que el atacante especifique, y devolver respuestas completas. En la práctica eso convierte el navegador comprometido en un proxy HTTP controlado por el delincuente, que puede así acceder a recursos internos de la red de la víctima y escanear puertos, detectando dispositivos y servicios internos como si el propio atacante estuviera dentro de la red.
Además de la PWA, algunos usuarios reciben la oferta de instalar un APK para Android que supuestamente extiende la «protección» a los contactos. Ese instalador solicita una gran cantidad de permisos de alto riesgo —acceso a SMS, registros de llamadas, micrófono, contactos y el servicio de accesibilidad— y trae componentes peligrosos: teclado personalizado para capturar pulsaciones, listener de notificaciones, servicio para interceptar credenciales autocompletadas y mecanismos de persistencia (registro como administrador de dispositivo, receptor de arranque, alarmas para reiniciar componentes). En otras palabras, si el APK se instala, la posibilidad de una toma total del dispositivo crece de forma significativa.
Este ataque no explota fallos en el navegador ni en el sistema operativo; explota la psicología humana. Al combinar funciones legítimas de la web con una apariencia creíble y una narrativa de «mejora de seguridad», los atacantes consiguen que el usuario entregue voluntariamente los permisos necesarios para el robo de datos y el movimiento lateral en la red. Por eso, las recomendaciones de sentido común son tan importantes: Google no envía comprobaciones de seguridad mediante ventanas emergentes que pidan instalar software fuera de su panel de cuenta; todas las herramientas oficiales se gestionan desde el panel de usuario en myaccount.google.com.
Si crees que podrías estar afectado, hay pasos concretos y urgentes que conviene seguir. En el navegador, revisa las aplicaciones web instaladas y las excepciones de notificaciones y portapapeles; en Chromium (Chrome, Edge) las PWAs aparecen en la lista de aplicaciones y se pueden desinstalar desde la configuración del navegador. En macOS o iOS, elimina cualquier icono o acceso directo que no recuerdes haber creado. En Android, busca apps con nombres sospechosos como «Security Check» y comprueba si hay una aplicación llamada «System Service» con paquete com.device.sync; si tiene privilegios de administrador del dispositivo, revócalos en Ajustes > Seguridad > Aplicaciones de administración de dispositivo antes de desinstalarla. Malwarebytes ofrece pasos precisos para la erradicación en su informe, que conviene seguir si detectas algo similar: informe de Malwarebytes.
En cuanto a mitigación a largo plazo, es recomendable sustituir la verificación por SMS por autenticadores de software o llaves físicas, evitar instalar APKs desde fuentes fuera de Google Play, no aceptar permisos que no entiendas (especialmente accesos a SMS, notificaciones, accesibilidad o teclado), mantener el navegador y el sistema actualizados y utilizar soluciones de seguridad reconocidas para escanear el dispositivo. Cabe destacar que algunos navegadores limitan el alcance de estas técnicas: en Firefox y Safari muchas capacidades del ataque están restringidas, aunque las notificaciones push pueden seguir funcionando; por eso, cambiar de navegador no es suficiente por sí solo, pero reduce el riesgo.
Finalmente, si manejas criptomonedas, actúa con rapidez: revisa direcciones vinculadas, considera mover fondos a carteras cuya llave privada no haya estado en riesgo y habilita medidas de seguridad adicionales. Si tu contraseña de Google u otros servicios pudo haberse visto comprometida, cambia las contraseñas desde otro dispositivo seguro, revisa la actividad de inicio de sesión y considera revocar tokens y sesiones desde el panel de seguridad de la cuenta en Google Security Checkup.
Para entender mejor las piezas técnicas empleadas por los atacantes (service workers, sincronización periódica en segundo plano, WebOTP, etc.), las guías oficiales y la documentación de desarrolladores son recursos útiles: el API de Service Workers se describe en MDN (Service Worker API — MDN), la sincronización periódica en segundo plano en MDN Periodic Background Sync y la API WebOTP en MDN WebOTP API. Conocer cómo funcionan estas piezas ayuda a identificar cuándo su uso es legítimo y cuándo no.
En resumen, la campaña que imita un control de seguridad de Google demuestra que la conjunción de tecnologías web potentes y una presentación convincente puede ser peligrosa cuando se combina con ingeniería social. La mejor defensa sigue siendo la precaución: no instalar aplicaciones desde ventanas emergentes, verificar dominios y fuentes, negar permisos innecesarios y usar métodos de autenticación robustos. Si tienes dudas sobre una posible infección, consulta guías de eliminación de firmas de seguridad como la de Malwarebytes y, si es necesario, pide ayuda a profesionales de confianza.
Lecturas recomendadas para profundizar: el informe técnico de Malwarebytes sobre este incidente (Malwarebytes), la cobertura de medios especializados como BleepingComputer y la documentación de desarrolladores en MDN Web Docs.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...