Cuando “Google” me escribió (y casi me lo creo)

Me llega un correo y lo primero que veo es esto:

• Remitente: Laura Gómez | Consultora de Talentos
• Asunto: Hey Neurona, ¿agendamos una llamada rápida?
• Pre-header: Hola Neurona, revisamos tu perfil y creemos que podrías encajar…

Y, atención: Gmail lo había marcado como importante.
¡Ojo, cuidao!

Me puede la curiosidad, así que lo abro con cierto escepticismo, pensando: “otro recruiter que no sabe ni quién soy ni a qué me dedico”. Y sorpresa, logo de Google, un texto bien redactado y bastante convincente (una pena que se me olvidó hacer el pantallazo). Nada que ver con los típicos correos chapuceros que nos suele llegar directamente a spam.

Y aquí empieza el diálogo interno:

• Mi lado racional me dice: “esto huele a phishing que echa pa’trás”.
• El irracional responde: “oye, ¿y si es verdad? ¿Y si de verdad es Google?”.
• El racional insiste: “que no, tía, que esto es un timo”.
• Y el irracional contraataca: “pero Gmail lo ha marcado como importante… pásalo a GPT a ver qué dice”.

Unos segundos de ilusión estúpida mezclada con desconfianza.
¡Gracias por hacerme dudar lado irracional!

Spoiler: no era Google.
Pero me picó la curiosidad y me puse a tirar del hilo.

Empiezo mirando el remitente. “Laura Gómez”, nombre común… ok. La dirección de correo nada que ver con Google… pero aparecía Salesforce.

Y claro, otra vez la pelea mental: una parte de mí pensaba que eso era sospechoso, y otra se inventaba la excusa de: “bueno, las plataformas de marketing meten sus rarezas en los correos, igual es normal”.

Total, que le paso a GPT el churrasco y me suelta el testamento técnico.

El resumen es que el dominio era Salesforce, sí, y podía ser legítimo… pero también podía ser alguien usando Salesforce para lanzar spam o phishing. Vamos, que me quedé igual que empecé.

Así que copie el enlace del botón que había en el email y lo abrí con cuidado, eso sí: máquina virtual y modo incógnito, que tampoco se me va tanto la pinza.

El enlace me lleva a una página, también muy bien maquetada, muy creíble, con el logo de Google Careers y los enlaces que había llevaban a páginas de Google… Lo que viene siendo un disfraz perfecto pero con algo que chirría.

Empiezo a rascar el dominio. Ese “recruitpartners” sonaba serio, con su “apply” en plan portal de candidaturas. Pero no era ni Workday, ni Greenhouse, ni nada de lo que usan las grandes. Banderola roja!

Me rallo más y meto el enlace en VirusTotal.

Resultado: 93 de 94 proveedores dicen que está limpio. ¡93, hostia! Es decir, solo un el proveedor lo marcaba como spam. Y era Fortinet que esto me sonaba mucho a algo (negativo), pero no me acuerdo ni dónde lo leí, ni estudié, pero aquí me saltó otra banderita.

AVISO: No me hago responsable si copias y pegas el enlace de este pantallazo. Todo bajo tu responsabilidad.

Pero igualmente, otra vez el festival interno: mi parte irracional confiando en el 93, y mi parte racional pensando “Fortinet me suena de algo malo, pero ahora mismo no caigo”. 

¡Hostia p* con el diálogo interno!

Paso el enlace por URLScan y ahí ya me saltan las alarmas de verdad.

El dominio se había registrado hacía 14 horas. CATORCE!!!!. Un reclutador serio no monta un dominio y al día siguiente ya empieza a mandar correos. Y encima, estaba registrado a nombre de un proveedor random: NICENIC INTERNATIONAL GROUP. Nada que ver con Google ni con ninguna consultora seria.

AVISO: No me hago responsable si copias y pegas el enlace de este pantallazo. Todo bajo tu responsabilidad.

Que de hecho, se lo pasé a GPT para que me sacara lo que había de este proveedor random, y me dijo que no encontró nada.

Ya caí en que quizás VirusTotal no lo marcó como spam rotundo porque no tenían todavía un historial de esta url…

El caso es que con todas esas piezas ya estaba claro que querían que rellenara el formulario con mis datos personales, ¡vete tú a saber para qué!

Y ahí me di cuenta del ingenio que tienen: la trampa no estaba en que fuera cutre. Estaba demasiado bien hecho. Con logo de Google, con textos decentes, con maquetación limpia. No olía mal. Olía demasiado bien!!

Aprendizajes
Mirar siempre el remitente real, tirar de herramientas como VirusTotal, URLscan, WHOIS, ChatGPT… desconfiar si no te llega por un canal oficial, y sobre todo, que si algo suena a tu sueño dorado que llega en un momento sin sentido, respira porque seguramente es el sueño de otro, que lo único que quiere son tus datos o directamente robarte.

Lo dicho: Google aún no me ha fichado, pero los phishers bien fichadita que me tienen.

Usemos el sentido común.
¡Nos vemos en los bares neuronitas!

---

---

Una ayudita mínima por si quieres investigar un correo sospechoso

• VirusTotal → para comprobar si un dominio o enlace está marcado como malicioso: virustotal.com
• URLscan → para ver qué carga una web sin necesidad de visitarla: urlscan.io
• WHOIS → para mirar fecha de creación y quién registró un dominio: whois.domaintools.com
• Buscar en Google/LinkedIn → si la empresa existe de verdad, debería tener huella en Internet. Esto lo puede hacer cualquier IA por ti.
  

Mini checklist anti-phishing (consejitos no pedidos)

• Remitente real → no te quedes con el nombre bonito (“Laura Gómez”), revisa la dirección completa (@dominio.com).
• Gramática y redacción → aunque cada vez lo hacen mejor, errores raros o expresiones poco naturales = sospecha.
• Adjuntos → desconfía si trae PDFs, ZIPs o documentos sin contexto.
• ¿Coincide con la empresa real? → ej. un correo de “Google” debería acabar en @google.com, no en @recruitpartners.com.
• Subdominios raros → todo lo que está antes del dominio principal puede ser humo: soporte.google.secure-login.com (el dominio real ahí es secure-login.com).
• Fecha de creación (WHOIS) → si el dominio es nuevo (días u horas) 🚩.
• Registrador → empresas raras/desconocidas (ej. NICENIC, Namecheap usado en masa, etc.) → 🚩.
• Busca en una IA, la empresa a ver que te suelta.
• Pasa el ratón por encima del botón → ¿lleva a lo que promete? Un link que dice “Google” y va a bit.ly/… → 🚩.
• Acortadores → (bit.ly, tinyurl, etc.) → OJO Cuidao! Alta sospecha.
• Utiliza herramientas seguras → nunca en tu navegador principal.

---

---