La autenticación en dos pasos (MFA) ha sido durante años una de las principales barreras contra accesos no autorizados a cuentas online. Sin embargo, el grupo de ciberespionaje ruso APT29, también conocido como Cozy Bear y vinculado al servicio de inteligencia exterior ruso (SVR), ha demostrado que no siempre hace falta vulnerar sistemas para lograr acceso total. A veces, basta con convencer a la víctima de que se lo entregue.
Una reciente campaña dirigida contra analistas e investigadores críticos con el Kremlin, revelada por expertos en seguridad, ha expuesto cómo los atacantes lograron acceso persistente a cuentas de Gmail sin necesidad de burlar directamente la autenticación multifactor. ¿La clave? El uso fraudulento de una funcionalidad legítima de Google: las contraseñas específicas de aplicación.
El vector del engaño: ingeniería social avanzada
El ataque se iniciaba con un correo electrónico de phishing, cuidadosamente redactado y con apariencia oficial, que suplantaba al Departamento de Estado de EE. UU.. En él, se ofrecía a los investigadores participar en un supuesto encuentro diplomático o una sesión informativa. El mensaje incluía un archivo PDF con instrucciones precisas: para acceder a la documentación protegida, se pedía generar una contraseña específica de aplicación en su cuenta de Google.
Esta contraseña, destinada a permitir el acceso de aplicaciones como Outlook o Thunderbird sin necesidad de pasar por el segundo factor, funciona por diseño sin MFA. De este modo, al compartirla, el usuario no sólo entregaba una llave de acceso, sino que lo hacía creyendo actuar de forma legítima.
Uno de los casos más notorios fue el de Keir Giles, investigador de Chatham House especializado en política rusa, quien reconoció públicamente haber sido víctima del engaño. Según explicó, el lenguaje empleado en los correos era tan profesional y natural que no levantó sospechas. Algunos investigadores creen que los atacantes pudieron usar modelos de inteligencia artificial generativa para perfeccionar el tono y estilo del contenido.
Un uso malicioso de funciones legales
Lo que hace especialmente preocupante esta campaña es que no explota ninguna vulnerabilidad tecnológica. No hubo malware, no se violaron servidores ni se interceptaron contraseñas. Simplemente se abusó de una función estándar de seguridad: las contraseñas específicas de aplicación, que están pensadas para ofrecer acceso limitado a aplicaciones sin utilizar el flujo de autenticación completo.
La técnica permite:
- Acceso completo al correo Gmail sin MFA.
- Persistencia sin necesidad de robar tokens o cookies.
- Evadir herramientas tradicionales de detección de intrusión.
Desde Google, ya se han tomado medidas: se han revocado los accesos concedidos mediante estas contraseñas, se han bloqueado cuentas comprometidas y se ha reforzado la recomendación de activar el Programa de Protección Avanzada, diseñado para usuarios de alto riesgo, como periodistas, activistas y funcionarios.
Lecciones para organizaciones y usuarios
Este caso pone de relieve una verdad incómoda: la tecnología no es suficiente si el eslabón humano sigue siendo vulnerable. La sofisticación de la ingeniería social —reforzada ahora con herramientas de IA— puede convertir funcionalidades legítimas en armas contra sus propios usuarios.
Algunas preguntas clave para cualquier responsable de seguridad:
- ¿Se permite el uso de contraseñas específicas de aplicación en tu organización?
- ¿Hay visibilidad sobre cuándo y para qué se crean?
- ¿Se forman los usuarios para reconocer intentos de recolección maliciosa?
La campaña de APT29 demuestra que la guerra cibernética ya no requiere vulnerabilidades técnicas para triunfar. Basta con un documento PDF y una narrativa convincente para que una contraseña sea entregada con plena colaboración del usuario.
En la era del phishing personalizado, la concienciación sigue siendo la primera línea de defensa.
