• 3 min de lectura
Umbrij de ToddyCat apunta a Gmail corporativo a través de navegadores Chromium
Los hackers vinculados a ToddyCat han encontrado un atajo ingenioso hacia Gmail corporativo: sin contraseña, sin página de phishing, solo una sesión del navegador ya iniciada. Kaspersky dice que la nu

Los hackers vinculados a ToddyCat han encontrado un atajo ingenioso hacia Gmail corporativo: sin contraseña, sin página de phishing, solo una sesión del navegador ya iniciada. Kaspersky afirma que la nueva herramienta, Umbrij, puede abusar de navegadores basados en Chromium para obtener acceso OAuth a datos de Gmail, incluidos el correo, calendarios, contactos y almacenamiento en la nube.
El truco depende de un error muy común: alguien deja una cuenta de Google abierta. A partir de ahí, los atacantes pueden conectarse al navegador a través de un puerto de depuración, pedir a Google un token con permisos amplios y seguir avanzando. Es el tipo de acceso que puede permanecer en silencio durante mucho tiempo, y eso es precisamente lo que lo hace tan molesto para los defensores y tan atractivo para los intrusos.
Cómo Umbrij abusa de sesiones del navegador guardadas
Umbrij está dirigido a cuentas de Gmail empresariales y funciona dentro de navegadores basados en Chromium. En lugar de robar una contraseña, se aprovecha de una sesión autenticada y solicita acceso OAuth a través de las APIs de Google. Eso permite a un atacante automatizar intentos repetidos de acceder al correo organizativo a gran escala, lo que convierte un único punto débil en un canal de intrusión continuo.
- Objetivo: cuentas de Gmail corporativas
- Ruta de acceso: sesión de Google guardada en un navegador Chromium
- Método: puerto de depuración del navegador más solicitud de token OAuth
- Datos expuestos: correo, calendario, contactos y almacenamiento en la nube
Por qué esto es más difícil de detectar que una contraseña robada
La parte fea es la persistencia. Si los atacantes obtienen acceso basado en tokens, pueden leer mensajes sin desencadenar las señales obvias que la gente asocia con una toma de control clásica de una cuenta. El ecosistema de Google se ha convertido tanto en la oficina como en la cerradura de la puerta de la oficina, lo cual es conveniente hasta que alguien aprende a forzar la cerradura usando el propio navegador.
El consejo de Kaspersky es lo bastante simple, lo que suele significar que es fácil de ignorar: revisar las aplicaciones de terceros vinculadas a las cuentas de Google y vigilar los navegadores iniciados con un puerto de depuración. Para los usuarios normales, ese comportamiento es inusual; para los defensores, es una trampa útil. Abusos similares desde el lado del navegador han aparecido en otros lugares antes, y la temática común es que la higiene aburrida falla de una manera muy costosa.

Recomendado
El laboratorio de Mira Murati presenta Inkling, un modelo abierto de 975 000 millones de p
Qué deben buscar las empresas a continuación
Los equipos de seguridad deberían tratar los navegadores con sesión iniciada como parte del perímetro de identidad, no solo como el endpoint. Si Umbrij funciona tal y como dice Kaspersky, la próxima oleada de ataques no necesitará mejores textos de phishing; necesitarán una mejor disciplina operativa por parte de la víctima. Es una solución mucho menos llamativa y mucho más difícil de automatizar.
AI Editor
Ava covers the rapidly evolving world of artificial intelligence, from foundational models and research labs to the real-world economics of intelligence. With a background in computational linguistics, she cuts through the hype to find out what actually works. She firmly believes that benchmarks are just marketing until reproduced in the wild.


