logo
https://whitelabel-manager-production.ams3.digitaloceanspaces.com/thumbs/x-1024x732-3-d23da.jpg_800x.jpg
mayo 11, 2026
Author: Adam Collins
Type:
Tendencias de Estafas
#Phishing y Suplantación de Identidad

Estafa de suplantación de identidad de Google AppSheet: Cómo los delincuentes envían amenazas falsas desde correos electrónicos reales de Google

Abres tu bandeja de entrada y ves un "aviso de infracción de marca" urgente. Compruebas la dirección del remitente y ves que es de noreply@appsheet.com, un dominio real de Google. Todo parece legítimo. Esa es exactamente la cuestión.

Esta estafa de phishing de Google AppSheet engaña a la seguridad de tu correo electrónico para que marque el mensaje como seguro, ocultando un ataque muy sofisticado que elude las defensas estándar de las que dependen la mayoría de las bandejas de entrada.

En pocas palabras

  • Los estafadores se aprovechan de la plataforma AppSheet de Google para enviar falsas amenazas legales desde la dirección real noreply@appsheet.com.
  • Los correos electrónicos pasan todos los filtros de spam estándar porque se originan en servidores de Google auténticos y autenticados.
  • Al hacer clic en el enlace, se accede a una página de inicio de sesión falsa diseñada para robar las credenciales de Facebook y los códigos de autenticación de dos factores (2FA).
  • Nunca hagas clic en enlaces de correos electrónicos inesperados con amenazas legales: ve directamente a la plataforma para comprobar el estado de tu cuenta

Desde marzo de 2025, los ciberdelincuentes han explotado la propia infraestructura de Google para enviar correos electrónicos maliciosos directamente desde servidores de Google de confianza. La escala es alarmante: en un solo día de abril de 2025, casi el 11% de todos los correos electrónicos de phishing enviados en todo el mundo procedían de AppSheet. Una campaña específica vinculada a Vietnam, cuyo nombre en clave era"AccountDumpling", utilizó este método para comprometer más de 30.000 cuentas de Facebook Business en Estados Unidos, Italia y Canadá.

¿Qué es Google AppSheet y por qué lo utilizan los estafadores?

Google AppSheet es la plataforma gratuita sin código de la empresa que permite a cualquiera crear aplicaciones personalizadas y configurar notificaciones automáticas por correo electrónico. Los estafadores abusan de este sistema de notificación para enviar correos electrónicos directamente desde noreply@appsheet.com y appsheet.bounces.google.com, direcciones legítimas de Google.

Como los mensajes proceden de los propios servidores de Google, eluden los tres protocolos de autenticación principales en los que se basan los sistemas de seguridad del correo electrónico: SPF, DKIM y DMARC. Las tres comprobaciones salen limpias porque, técnicamente, el correo electrónico procede de Google.

El investigador de seguridad Shaked Chen describe esta situación como un "relé de phishing": los atacantes utilizan la infraestructura de una plataforma de confianza como remitente visible para enmascarar su verdadera identidad. Se trata de una técnica en auge que vuelve en tu contra la confianza que depositas en la infraestructura de las grandes marcas. Para obtener más información sobre cómo funcionan las técnicas de phishing, lea nuestra guía Cómo reconocer un correo electrónico de phishing.

¿Qué aspecto tiene un correo electrónico de phishing de Google AppSheet?

Un correo electrónico de phishing de AppSheet típico se disfraza de amenaza legal urgente, utilizando líneas de asunto como:

  • "Aviso de infracción de derechos de autor - Acción requerida"
  • "Infracción de marca comercial: eliminación de cuenta pendiente".
  • "Meta Enforcement: Su cuenta ha sido marcada".

El cuerpo del correo electrónico se hace pasar por un bufete de abogados o un equipo de Meta Enforcement, y utiliza un lenguaje de alta presión para obligarle a actuar de inmediato. Un botón destacado le insta a "Ver pruebas", "Descargar pruebas" o "Verificar su cuenta".

Mientras que la dirección del remitente muestra un dominio de Google auténtico, el enlace del botón redirige a una página de phishing alojada en plataformas de terceros como Vercel, Netlify o dominios terminados en .su. Algunas versiones incluso incluyen una marca de verificación falsa dentro del cuerpo del correo electrónico, una señal visual diseñada cínicamente para cortocircuitar su escepticismo.

Consejo de ScamAdviser: Pase el ratón por encima de cualquier enlace antes de hacer clic. Si la URL de destino no coincide con la organización que supuestamente se pone en contacto con usted, considérelo una estafa.

¿Por qué pasa esta estafa los filtros de spam?

Aquí es donde la estafa de AppSheet es realmente peligrosa: funciona porque utiliza infraestructura real de Google.

Los filtros de spam estándar comprueban si un correo electrónico se ha enviado desde servidores autorizados para enviar en nombre del dominio reclamado. Dado que AppSheet es un producto oficial de Google, todos los correos electrónicos que envía pasan perfectamente la autenticación SPF, DKIM y DMARC. Desde un punto de vista puramente técnico, el mensaje es un correo electrónico genuino de Google, aunque el contenido sea totalmente fraudulento.

Los filtros de seguridad tradicionales no se crearon para plantear preguntas lógicas, como por ejemplo: ¿por qué una herramienta de creación de aplicaciones de Google envía un aviso de aplicación de la marca Meta? Las herramientas de seguridad basadas en inteligencia artificial y conscientes del contexto pueden detectar esa falta de coincidencia, pero la mayoría de las organizaciones y particulares aún no las han implantado.

Esta es una razón clave por la que el Business Email Compromise (BEC) y el phishing de retransmisión de plataforma se han vuelto tan eficaces, y tan difíciles de detener en la bandeja de entrada.

¿Qué ocurre si se hace clic en el enlace?

Al hacer clic en el enlace, se accede directamente a una pantalla de inicio de sesión falsa creada para robar las credenciales de Facebook, Google o la cuenta de correo electrónico.

Los responsables de la campaña AccountDumpling utilizaron un proxy man-in-the-middle en tiempo real, una configuración que captura tu código 2FA en el momento exacto en que lo introduces, haciendo que la autenticación de dos factores sea inútil en este contexto. Algunas variantes del ataque fueron incluso más allá, desplegando html2canvas, un script que captura silenciosamente la sesión de tu navegador mientras interactúas con la página falsa.

Una vez que los atacantes tienen acceso a su cuenta, actúan con rapidez:

  • Ejecutar anuncios fraudulentos utilizando tus tarjetas de crédito o débito vinculadas.
  • Vender su cuenta comprometida en mercados de la Web oscura.
  • Utilizar tu perfil para realizar más estafas a tus contactos y seguidores.

En un paso final especialmente cínico, algunos atacantes se dirigen después a sus propias víctimas para venderles "servicios de recuperación de cuentas", monetizando así el daño que han causado por partida doble.

Para saber qué hacer si tu cuenta ya ha sido comprometida, consulta nuestro artículo He sido estafado, ¿y ahora qué?

Cómo saber si un correo electrónico de AppSheet es una estafa

Busque discrepancias lógicas entre el remitente del correo electrónico y lo que realmente le pide que haga. Una herramienta de creación de aplicaciones de Google no tiene motivos legítimos para aplicar la política de marcas de Facebook.

Bandera roja Qué hacer Amenaza legal urgente procedente de la dirección de un producto de Google Detente. Los productos de Google no hacen cumplir la legislación sobre marcas comerciales o derechos de autor en nombre de Meta. El enlace del botón conduce a un acortador de URL, a un dominio .su o a un sitio de terceros no relacionado. Pasa el ratón por encima del enlace para ver la URL de destino completa antes de hacer clic. La línea de asunto y el contenido del correo electrónico no coinciden Lee atentamente: los estafadores suelen reciclar plantillas sin cuidado. Te piden que inicies sesión en Facebook o Google a través de un enlace en un correo electrónico Abra una nueva pestaña del navegador y vaya directamente a la plataforma. Falsa marca de verificación o insignia de confianza dentro del correo electrónico Son imágenes, no indicadores reales de seguridad. Ignórelos.

¿Qué debe hacer si recibe uno de estos correos electrónicos?

No haga clic en ningún enlace, aunque la dirección del remitente parezca totalmente auténtica.

  • Si no ha hecho clic: Denuncie el mensaje como phishing en su cliente de correo electrónico para ayudar a mejorar el filtrado para todos. También puede denunciarlo a la FTC en ReportFraud.ftc.gov o a su autoridad nacional de protección de los consumidores.
  • Si ha hecho clic pero no ha introducido ningún dato: Puede que estés a salvo, pero realiza un análisis de malware en tu dispositivo como medida de precaución.
  • Si ha introducido sus credenciales de acceso: Actúe de inmediato: cambie sus contraseñas, revoque el acceso a cualquier aplicación de terceros no reconocida en la configuración de seguridad de su cuenta y active la autenticación de dos factores si aún no lo ha hecho.
  • Si te preocupa una reclamación de marca genuina o una restricción de cuenta, abre una nueva ventana del navegador e inicia sesión en la plataforma directamente, sin utilizar ningún enlace del correo electrónico.

También puedes comprobar si el sitio web o la plataforma que hay detrás de un correo electrónico fraudulento es legítimo utilizando el comprobador de sitios web gratuito de ScamAdviser.

Conclusión

La estafa de phishing de Google AppSheet representa un cambio más amplio en la forma de operar de los ciberdelincuentes. Ya no necesitan falsificar una dirección de remitente de confianza, sino que pueden utilizar una infraestructura real. La confianza que depositas en un correo electrónico auténtico de Google es precisamente lo que estos atacantes utilizan como arma contra ti.

Cuestionar un correo electrónico de amenaza legal inesperado, aunque proceda de una dirección reconocible, no es paranoia. Es la única defensa fiable disponible cuando los sistemas de autenticación han quedado inutilizados.

Si es urgente, exige un clic y amenaza su cuenta, considérelo una estafa hasta que se demuestre lo contrario.

Preguntas más frecuentes
¿Qué es la estafa de phishing de Google AppSheet?

Se trata de un ataque en el que los estafadores se aprovechan de la plataforma AppSheet de Google para enviar amenazas legales falsas desde una dirección de correo electrónico de Google genuina, eludiendo los filtros de spam estándar.

¿Por qué noreply@appsheet.com me envía correos electrónicos amenazantes?

Los ciberdelincuentes se aprovechan del sistema de notificaciones automáticas de AppSheet para enviar enlaces de phishing que superan todas las comprobaciones de autenticación de correo electrónico estándar.

¿Pueden los filtros de spam bloquear estos correos electrónicos de phishing?

La mayoría de los filtros tradicionales no pueden bloquearlos, porque los correos electrónicos proceden realmente de servidores de Google autenticados. Las herramientas de seguridad basadas en el contexto o en la inteligencia artificial están mejor equipadas para detectar la falta de coincidencia.

¿Cómo puedo proteger mi cuenta de Facebook Business de este tipo de ataque?

Accede siempre directamente a Facebook para comprobar si hay alertas en la cuenta. Nunca sigas los enlaces que aparecen en correos electrónicos no solicitados con amenazas legales, aunque la dirección del remitente parezca ser de Google.

¿Qué debo hacer si ya he introducido mi contraseña en la página falsa?

Cambia tu contraseña inmediatamente, comprueba las sesiones activas de tu cuenta y las aplicaciones conectadas, y activa la autenticación de doble factor. Ponte en contacto con el equipo de asistencia de la plataforma correspondiente si sospechas que se ha producido un acceso no autorizado.

Adam Collins es un investigador de ciberseguridad de ScamAdviser que opera bajo seudónimo por motivos de privacidad y seguridad. Con más de cuatro años en el frente digital, está especializado en traducir amenazas complejas en consejos prácticos. Su misión: sacar a la luz las señales de alarma para que puedas navegar por la red con confianza.

Ver biografía completa

See other articles in this category
Report a Scam!
Have you fallen for a hoax, or bought a fake product? Report the site and warn others!
Report a Scam

Scam Category

Scam Tags

#Estafas de Compras por Internet #Phishing y Suplantación de Identidad #Tiendas en Línea Falsas #Misleading Claims #Fake Online Store #Estafas de Productos Falsos (Imitaciones) #Otras Estafas, Engaños y Fraudes #Impersonation scams #Estafas de Sitios de Vídeo para Adultos #Text Message Scams #Estafas de Inversión #Estafas de Malware #Social Media Hoax #Estafas de Suscripciones #Social Media Scams #Estafas telefónicas #Estafas de Criptomonedas y Bitcoins #Estafas con tarjetas regalo #Estafas de Regalos y Premios Gratuitos #Estafas de Citas Románticas #Estafas de Empleos Falsos #Estafas Nigerianas #Estafas de Mercado #Estafas de Trabajo desde Casa #Estafas de Sorteos #Estafas de Juegos de Azar y Apuestas #Online payment scams #Estafas de Viajes y Vacaciones #Data Breach #Estafas en los Videojuegos #Estafas en el Comercio de Criptomonedas #Facebook Scams #Estafas de Sitios de Citas para Adultos #Online Survey Scams #Esquemas Ponzi y Piramidales #Estafas de Cebo y Cambio #Extortion Scams #estafas de caridad #Tiktok Scams #Estafas de Amazon #Ataque de Compromiso de Correo Electrónico Empresarial (BEC) #Estafas de Recuperación de Dinero #Estafas de Tarjetas de Crédito y Débito #Estafas de Lotería #Estafas de Mensajería y Entrega #Social Security Scams #Instagram Scams #Estafas en el Comercio de Divisas (Forex) y Acciones #Estafas de Catfishing #Estafas de Money Flipping #Soporte Técnico y de TI Falsos #Fraude de Facturas Falsas #Estafas de Servicios Públicos #Estafas de Herencia
About Us Contact Check Yourself Disclaimer
Developed By: scamadviser-logo