El 15 de julio de 2026, los expertos de Kaspersky hicieron un hallazgo alarmante respecto a las tácticas del grupo de ciberdelincuentes APT ToddyCat, que ha desarrollado una técnica para acceder a cuentas de Gmail corporativas sin necesidad de robar las contraseñas de los usuarios. En un mundo donde la seguridad de la información es crítica, los atacantes aprovechan sesiones de Gmail que permanecen activas en el navegador para solicitar permisos sobre recursos de Google, obteniendo así acceso no autorizado a correos electrónicos, archivos en la nube y contactos empresariales. Esta técnica, evidenciada en las investigaciones proactivas de Kaspersky sobre amenazas avanzadas, resalta la evolución de los métodos empleados por los ciberdelincuentes en su intento por eludir las medidas de seguridad tradicionales.
La estrategia utilizada por el grupo ToddyCat se basa en el aprovechamiento de las sesiones de Gmail abiertas por los usuarios. Cuando una sesión permanece abierta, el navegador almacena un «shadow token» que permite al usuario seguir conectado sin necesidad de volver a ingresar su contraseña. Los atacantes, mediante el uso de un malware conocido como Umbrij, logran abrir conexiones encubiertas que les permiten interactuar con la API de Gmail como si fueran el usuario legítimo. Esta técnica, conocida como Shadow Token via Remote Debug (STRD), afecta especialmente a navegadores basados en Chromium, lo que amplía el alcance potencial del ataque, ya que muchos usuarios de diferentes plataformas pueden estar en riesgo.
El impacto potencial de esta campaña es significativo, dado que los correos electrónicos corporativos son un punto crítico de comunicación y contienen información sensible que podría ser explotada por los atacantes. No solo se compromete la privacidad de las conversaciones y documentos entre empleados, sino que una cuenta de Gmail empresarial violada puede servir como puerta de entrada para futuras intrusiones dentro de la organización. Las consecuencias de tales ataques pueden ser devastadoras, incluyendo el espionaje, el robo de información y la interrupción de las operaciones empresariales. Esto hace que las empresas deban reaccionar rápidamente para fortalecer su defensa ante esta nueva amenaza.
Leandro Cuozzo, Investigador de seguridad en el equipo GReAT de Kaspersky, subraya que este método representa un cambio significativo en los enfoques de los atacantes, quien ya no se limitan a robar contraseñas o engañar a los usuarios. Kaspersky recomienda a las empresas tomar medidas preventivas para mitigar estos riesgos. Entre las sugerencias se encuentran cerrar las sesiones que no estén en uso, revisar las funciones del navegador que realmente son necesarias y emplear soluciones de detección y respuesta ante amenazas que permitan identificar comportamientos inusuales de manera proactiva.
Kaspersky, como líder en el campo de la ciberseguridad, también sugiere que las organizaciones se apoyen en inteligencia y servicios especializados para mejorar su capacidad de respuesta ante incidentes. Con una base de más de mil millones de dispositivos protegidos, la firma continúa desarrollando soluciones innovadoras que abordan las amenazas cibernéticas emergentes, asegurando que tanto individuos como corporaciones puedan proteger lo que más valoran. Para más información sobre cómo mejorar la seguridad empresarial, se invita a los interesados a visitar su blog oficial.






