El ataque, atribuido al grupo APT ToddyCat, aprovecha sesiones activas en navegadores basados en Chromium para solicitar permisos sobre correos, almacenamiento en la nube y contactos empresariales.
Kaspersky, 14 de julio de 2026.- Expertos de Kaspersky identificaron una nueva técnica utilizada por el grupo APT ToddyCat para intentar acceder a cuentas corporativas de Gmail sin necesidad de robar directamente la contraseña del usuario. En lugar de eso, los atacantes aprovechan sesiones de Gmail que permanecen abiertas en el navegador para solicitar permisos sobre recursos de Google, como correos electrónicos, archivos almacenados en la nube y contactos empresariales.
El hallazgo forma parte de las investigaciones proactivas de Kaspersky sobre amenazas avanzadas. En esta campaña, los atacantes apuntaron a comunicaciones corporativas alojadas en Gmail, con el objetivo de obtener acceso no autorizado a cuentas de correo mediante la API del servicio. Aunque el malware identificado fue diseñado para afectar a usuarios de Windows, la técnica podría adaptarse potencialmente a otros sistemas.
La técnica fue denominada Shadow Token via Remote Debug, o STRD, y afecta a navegadores basados en Chromium. En términos simples, el ataque funciona porque muchos usuarios dejan su sesión de Gmail abierta en el navegador. Cuando esto ocurre, el navegador conserva una especie de “llave digital” que permite seguir usando la cuenta sin volver a escribir la contraseña. ToddyCat aprovecha esa condición para intentar tomar control de esa sesión y solicitar acceso a información sensible.
Para ejecutar el ataque, el grupo utilizó un malware llamado Umbrij, capaz de abrir una conexión oculta a través de una función del navegador que normalmente usan los desarrolladores para hacer pruebas. Al hacerlo, los atacantes pueden enviar solicitudes a Gmail como si provinieran de una sesión ya autenticada del usuario.
Una vez dentro de ese flujo, el malware puede solicitar permisos amplios sobre la cuenta de la víctima, incluido acceso al correo electrónico, almacenamiento en la nube y contactos. Además, puede aprobar automáticamente la ventana de consentimiento al hacer clic en “Permitir”, obteniendo así el código necesario para acceder a esos recursos.
“Este hallazgo evidencia un cambio importante en la forma en que los atacantes buscan comprometer cuentas corporativas. Ya no se trata únicamente de robar contraseñas o engañar al usuario para que entregue sus credenciales, sino de aprovechar sesiones que ya están abiertas y mecanismos legítimos del navegador para obtener acceso a información sensible. Esto representa un problema para las empresas porque el correo corporativo concentra conversaciones estratégicas, documentos, contactos y accesos a otros servicios internos. Cuando una cuenta de Gmail empresarial es comprometida, el impacto puede ir mucho más allá del buzón: puede convertirse en una puerta de entrada para espionaje, robo de información y nuevos ataques dentro de la organización. Por eso, las compañías deben revisar qué funciones realmente necesitan sus usuarios, limitar aquellas que no son esenciales y fortalecer la visibilidad sobre comportamientos inusuales en sus entornos digitales”, afirma Leandro Cuozzo, Investigador de seguridad para América Latina en el equipo GReAT de Kaspersky.
Para las empresas, el riesgo de esta nueva técnica es especialmente relevante porque el correo electrónico sigue siendo uno de los principales canales de comunicación interna y externa, y una cuenta comprometida puede exponer conversaciones sensibles, documentos, contactos y otros recursos corporativos.
Anteriormente, investigadores de Kaspersky habían detallado campañas de ToddyCat orientadas al robo de datos desde navegadores web, así como desde servicios de correo electrónico locales y basados en la nube.
Para que las empresas puedan estar protegidas, los expertos de Kaspersky recomiendan:
