En junio de 2025 el ingeniero de diseño David Scoville recibió una llamada que parecía proceder del soporte oficial de Google. En pocos minutos y tras leer en voz alta un codigo de verificacion que le pidieron por telefono perdió el acceso a su cuenta Google, a las claves sincronizadas del autenticador en la nube y finalmente unos 80 000 USD en ETH stakeados, además de que su cuenta de Coinbase fue vaciada por un valor aproximado de 130 000 USD en total.
Como sucedio el ataque: el numero de origen se mostraba como la oficina de Google en Pacifica y el atacante alego una solicitud de cambio basada en una tarjeta de defuncion. Incluso envio un correo desde legal@google.com firmado por un supuesto empleado llamado Norman Zhu. Ante el panico Scoville leyó en voz alta un codigo de seguridad que supuestamente probaba que seguia vivo. Ese unico acto permitio al atacante tomar control de la sesion de Google y de las claves 2FA sincronizadas en la nube.
El daño fue rapido: el intruso accedio a Gmail, Drive, Fotos y al Google Authenticator sincronizado. En apenas 40 minutos drenaron los fondos stakeados en ETH y vaciaron su cuenta de Coinbase.
Donde las configuraciones por defecto dejaron brechas: correos falsos con remitentes terminados en @google.com pasaron los filtros de Gmail y en iOS el usuario no pudo inspeccionar cabeceras completas. La sincronizacion por defecto del Authenticator convierte el segundo factor en algo recuperable desde la nube, exactamente lo que el atacante necesitaba para hacerse con el control.
Lecciones de la comunidad: nunca compartir codigos de verificacion por telefono o correo electronico. Siempre colgar y devolver la llamada a un numero oficial previamente verificado. Considerar la sincronizacion en la nube como un factor unico y no como 2FA real; para cuentas criticas usar llaves fisicas o autenticadores offline. No atender llamadas de numeros desconocidos: dejar que dejen mensaje y confirmar despues por canales oficiales.
Buenas practicas de proteccion: utilizar llaves de hardware tipo YubiKey o smart cards en cuentas sensibles; desactivar la sincronizacion en la nube de apps autenticadoras y mantener los secretos TOTP localmente; nunca leer codigos 2FA en voz alta ni reenviarlos por telefono o correo; si se sospecha de fraude colgar y volver a llamar al numero oficial del soporte; separar la cuenta de correo principal de las plataformas financieras y laborales.
En Q2BSTUDIO, empresa especializada en desarrollo de software y aplicaciones a medida, inteligencia artificial y ciberseguridad, ayudamos a empresas a reducir este tipo de riesgos incorporando controles robustos y buenas practicas. Ofrecemos evaluaciones y servicios avanzados de proteccion que incluyen pentesting y configuracion segura de identidades, conoce nuestros servicios de ciberseguridad para proteger cuentas criticas y activos digitales. Tambien apoyamos migraciones y arquitecturas seguras en la nube, con experiencia en servicios cloud aws y azure, revisa nuestras soluciones de servicios cloud aws y azure para garantizar despliegues resilientes y conformes a buenas practicas.
Adicionalmente Q2BSTUDIO desarrolla aplicaciones a medida y software a medida integrando capacidades de inteligencia artificial, agentes IA y soluciones de inteligencia de negocio como power bi para mejorar la deteccion de anomalías y la toma de decisiones. Palabras clave relevantes para nuestra oferta: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.
Consideraciones finales: si incluso profesionales de seguridad pueden caer en golpes de ingenieria social bien ejecutados, cualquier empresa o usuario debe revisar sus configuraciones por defecto y adoptar controles fuertes. Si esta historia hace dudar a alguien antes de leer en voz alta un codigo urgente ya habra valido la pena compartirla.