「La mayoría de los usuarios de Gmail deben realizar cambios obligatorios」650 trampas, límites de contraseñas, el amanecer de las claves de acceso: Descifrando la gran advertencia de Gmail

「La mayoría de los usuarios de Gmail deben realizar cambios obligatorios」650 trampas, límites de contraseñas, el amanecer de las claves de acceso: Descifrando la gran advertencia de Gmail

2025年08月27日 01:14

Introducción——El tono de advertencia ha subido un nivel

La mayoría de los usuarios de Gmail deberían cambiar su contraseña」。Esta expresión contundente ha captado la atención porqueel secuestro basado en contraseñas sigue siendo efectivo y está "funcionando" para los atacantes. Recientemente, en lugar de vulnerabilidades avanzadas de "cero clic",el engaño y la reutilización son más rápidos y seguros. Google también está cambiando su enfoque recomendado de **"mejorar contraseñas" a "salida de la dependencia de contraseñas (passkeys)"**. blog.google


Qué está sucediendo——Tres hechos

  1. La violación de datos corporativos como desencadenante
    En junio, se informó repetidamente que el entorno de integración de Salesforce de Google fue atacado, lo que llevó a un aumento en el phishing/vishing (fraude telefónico) utilizando información de contacto como punto de partida. Google ha explicado que "las contraseñas no estaban incluidas", pero si hay "contactos + una apariencia de credibilidad", no es difícil extraer contraseñas por teléfono o mediante operaciones en pantalla. PCWorldTom's Guide

  2. Llamadas telefónicas de suplantación de identidad desde "650"
    En Reddit, se continúan reportando llamadas que se hacen pasar por "soporte de Google" desde el código de área 650 (código de área de California = impresión de la sede de Google). Con instrucciones que imitan "operaciones legítimas" como "restablecer la contraseña ahora" y "confirmar el cambio de correo de recuperación", se apoderan de cuentas. Google nunca solicita contraseñas por teléfono. Reddit

  3. La realidad de los usuarios de "no actualizar"
    El 36% de las personas "actualizan regularmente sus contraseñas". La cifra revelada por la encuesta de Google y Morning Consult también refleja la realidad delcansancio de contraseñas. Además, los jóvenes estánmigrando de contraseñas a passkeys o inicios de sesión sociales, y la idea misma de "actualización" está siendo reemplazada. Morning Consult


El mensaje de Google——"Cambiar o dejarlo"

Google repite el enfoque de dos pasos: **"Si cambias, que sea fuerte, único y con dos factores" y "si puedes, usapasskeys". Lospasskeys tienen una alta resistencia al phishing** y ofrecen una experiencia similar al desbloqueo de dispositivos conhuella digital, rostro o PIN, siendo más rápidos que el 2SV tradicional. La compañía también enfatiza el uso deSecurity Checkup y elAdvanced Protection Program. blog.googlePCWorld


Reacciones en redes sociales——Tres grupos: "pro-passkey", "cautelosos" y "pragmáticos"

  • Pro-passkey: "La transición a passkeys es más lógica que 'nuevas contraseñas fuertes'", "Los passkeys son los mejores contra la ingeniería social por teléfono", y la comunidad en general es positiva. Se está extendiendo la idea de que "no hacer que los usuarios creen contraseñas" es en sí mismo una medida de seguridad. Reddit

  • Cautelosos: Por otro lado, hay preocupaciones sobre "el flujo de recuperación es incierto" y "¿qué pasa con múltiples dispositivos y aplicaciones de TV?". En la operación de passkeys, hay una fuerte demanda de usar dispositivos de respaldo, códigos de recuperación y claves físicas. Ars Technica

  • Pragmáticos: Los informes de intentos de fraude en Reddit son concretos. "Recibí una llamada de 'solicitud de cambio de número' desde 650-****", "Me presionaron para aprobar la autenticación de dos factores". **El método de "superponer notificaciones y UI legítimas de manera astuta"** resuena con ejemplos de pérdidas significativas del pasado.  


Plan de acción: ahora, hoy, esta semana

Ahora (5 minutos)

  • No respondas allamadas, SMS o correos desconocidos.Google no solicita contraseñas por teléfono.

  • Usa Google Security Checkup para identificar configuraciones peligrosas y contraseñas débiles o comprometidas.

  • Verifica **"Actividad de seguridad reciente" de Gmail** y cierra sesión en inicios de sesión no reconocidos. PCWorld


Hoy (15-30 minutos)

  • Cambia a nuevas contraseñas únicas y largas para cada servicio. Mínimo12-16 caracteres,secuencia de palabras no encontradas en ataques de diccionario + símbolos.

  • Cambia la autenticación de dos factores aaplicación (Authenticator) o clave física (SMS como alternativa).

  • Actualiza el correo/telefono de recuperación y descartacódigos de respaldo innecesarios. blog.google


Esta semana (60 minutos)

  • Convierte tu cuenta de Google a passkeys (registrar en dispositivos principales y replicar en secundarios).

  • Considera registrarte en Advanced Protection si cumples con los requisitos (periodistas, administradores, etc.).

  • Si es para uso laboral, revisalas políticas de seguridad de todo el dominio (SSO, gestión de dispositivos, autenticación basada en riesgos). blog.googlePCWorld


Cómo "detectar" llamadas de suplantación

  • No confíes incondicionalmente si el origen es "650".

  • Si te dicen **"ahora mismo" o "este código verbalmente", es100% falso**.

  • Devuelve la llamada desde el soporte oficial.No hagas clic en enlaces de SMS.

  • Las aprobaciones push de Google debencoincidir con tus acciones. Tom's GuideReddit


Preguntas frecuentes (FAQ)

P. ¿Desaparecen las contraseñas al usar passkeys?
R. Puedes establecer el supuesto de **"no usar contraseñas existentes". Es práctico tener preparadas claves físicas o passkeys en otros dispositivos** para recuperación. blog.google


P. ¿Qué pasa con las aplicaciones de TV o dispositivos antiguos?
R. Hay rutas alternativas como códigos QR/códigos temporales, pero aún estamos en una fase de transición para "resolver todo con passkeys". Operativamente, es seguro tener una estrategia dual de passkeys + métodos de recuperación sólidos. Ars Technica


P. ¿Y si ya se ha "filtrado"?
R. Cambia todas las instancias reutilizadas.Audita con un gestor de contraseñas y realiza varias veces el Security Checkup. Presta especial atención alfraude telefónico##HTML_TAG_498

← Volver a la lista de artículos