• El ataque, atribuido al grupo APT ToddyCat, aprovecha sesiones activas en navegadores basados en Chromium para solicitar permisos sobre correos, almacenamiento en la nube y contactos empresariales.

Internacional, 15 de julio de 2026.- Especialistas en ciberseguridad identificaron una nueva técnica utilizada por el grupo APT ToddyCat para intentar acceder a cuentas corporativas de Gmail sin necesidad de robar directamente la contraseña del usuario. En lugar de eso, los atacantes aprovechan sesiones de Gmail que permanecen abiertas en el navegador para solicitar permisos sobre recursos de Google, como correos electrónicos, archivos almacenados en la nube y contactos empresariales.

En esta campaña, los atacantes apuntaron a comunicaciones corporativas alojadas en Gmail, con el objetivo de obtener acceso no autorizado a cuentas de correo mediante la API del servicio. Aunque el malware identificado fue diseñado para afectar a usuarios de Windows, la técnica podría adaptarse potencialmente a otros sistemas.

La técnica fue denominada Shadow Token via Remote Debug, o STRD, y afecta a navegadores basados en Chromium. En términos simples, el ataque funciona porque muchos usuarios dejan su sesión de Gmail abierta en el navegador. Cuando esto ocurre, el navegador conserva una especie de “llave digital” que permite seguir usando la cuenta sin volver a escribir la contraseña. ToddyCat aprovecha esa condición para intentar tomar control de esa sesión y solicitar acceso a información sensible.

Para ejecutar el ataque, el grupo utilizó un malware llamado Umbrij, capaz de abrir una conexión oculta a través de una función del navegador que normalmente usan los desarrolladores para hacer pruebas. Al hacerlo, los atacantes pueden enviar solicitudes a Gmail como si provinieran de una sesión ya autenticada del usuario.

Una vez dentro de ese flujo, el malware puede solicitar permisos amplios sobre la cuenta de la víctima, incluido acceso al correo electrónico, almacenamiento en la nube y contactos. Además, puede aprobar automáticamente la ventana de consentimiento al hacer clic en “Permitir”, obteniendo así el código necesario para acceder a esos recursos.

“Este hallazgo evidencia un cambio importante en la forma en que los atacantes buscan comprometer cuentas corporativas. Ya no se trata únicamente de robar contraseñas o engañar al usuario para que entregue sus credenciales, sino de aprovechar sesiones que ya están abiertas y mecanismos legítimos del navegador para obtener acceso a información sensible. Esto representa un problema para las empresas porque el correo corporativo concentra conversaciones estratégicas, documentos, contactos y accesos a otros servicios internos. Cuando una cuenta de Gmail empresarial es comprometida, el impacto puede ir mucho más allá del buzón: puede convertirse en una puerta de entrada para espionaje, robo de información y nuevos ataques dentro de la organización. Por eso, las compañías deben revisar qué funciones realmente necesitan sus usuarios, limitar aquellas que no son esenciales y fortalecer la visibilidad sobre comportamientos inusuales en sus entornos digitales”, afirma Leandro Cuozzo, Investigador de seguridad informatica.

Para las empresas, el riesgo de esta nueva técnica es especialmente relevante porque el correo electrónico sigue siendo uno de los principales canales de comunicación interna y externa, y una cuenta comprometida puede exponer conversaciones sensibles, documentos, contactos y otros recursos corporativos.

Anteriormente, investigadores ya habían detallado campañas de ToddyCat orientadas al robo de datos desde navegadores web, así como desde servicios de correo electrónico locales y basados en la nube.

Para que las empresas puedan estar protegidas, los expertos recomiendan lo siguiente:

  • Cerrar sesiones que no estén en uso. Evitar dejar cuentas corporativas abiertas de forma permanente en navegadores, especialmente en dispositivos compartidos o de uso frecuente. Cerrar sesión y revisar periódicamente los accesos activos ayuda a reducir el riesgo de que una sesión autenticada sea aprovechada por terceros.
  • Limitar funciones innecesarias del navegador. Las empresas deben revisar qué usuarios realmente necesitan herramientas de desarrollador o funciones avanzadas en navegadores basados en Chromium. Si no son necesarias para su trabajo diario, deshabilitarlas puede reducir la superficie de ataque.
  • Fortalecer la detección y respuesta ante amenazas. En el mercado existen soluciones que permiten contar con protección en tiempo real, mayor visibilidad sobre amenazas y capacidades de investigación y respuesta, ayudando a identificar comportamientos sospechosos antes de que escalen.
  • Apoyarse en inteligencia y servicios especializados. Para organizaciones que requieren mayor capacidad de monitoreo o no cuentan con suficiente experiencia interna, servicios que ayuden a detectar riesgos, responder a incidentes y reducir el impacto de posibles compromisos.
Share.
Exit mobile version