Google ha lanzado una advertencia tan clara como preocupante: los account takeovers —ataques en los que un ciberdelincuente consigue secuestrar por completo tu cuenta— están aumentando, y las consecuencias pueden ser devastadoras. La compañía reconoce que los atacantes ya no se conforman con robar contraseñas: ahora también capturan códigos de autenticación y hasta cookies de sesión, lo que les permite tomar el control de una cuenta sin necesidad de superar pasos de seguridad adicionales. Y si hablamos de una cuenta de Google, hablamos prácticamente de la puerta de entrada a toda tu vida digital.
El problema no es solo la agresividad de los atacantes, sino lo perfeccionados que están sus métodos. Google detalla que el phishing y el robo de credenciales están detrás del 37% de todas las intrusiones exitosas, y que el uso de infostealers distribuidos mediante correo electrónico se disparó un 84% en 2024. En 2025, dice la compañía, la tendencia no solo continúa, sino que empeora. Los atacantes han entendido que si consiguen secuestrar una cuenta con acceso amplio, no solo toman control de un servicio: toman control del usuario.
Y aquí es donde entra Chrome Sync. La sincronización del navegador es profundamente cómoda... y peligrosamente amplia. Cuando activas la sincronización en Chrome, Google almacena en la nube un volumen enorme de tus datos privados: historiales, pestañas abiertas, contraseñas, métodos de pago, direcciones, teléfonos, información almacenada en Google Pay, etc. Si un atacante accede a tu cuenta, accede automáticamente a todo eso, sin obstáculos adicionales. Es la literal definición de "todos los huevos en la misma cesta".
Lo que agrava la situación es que este tipo de intrusión no afecta solo a los servicios de Google. Chrome funciona como gestor universal de contraseñas, de modo que un compromiso de la cuenta abre la puerta a servicios bancarios, redes sociales, tiendas online, herramientas de trabajo y cualquier plataforma cuyos datos estén almacenados en el navegador. Además, el robo de cookies —una técnica cada vez más común— permite a los atacantes saltarse los mecanismos de login y comportarse como si fueran tú, sin que el sistema detecte nada extraño.
Por fortuna, los usuarios pueden tomar medidas inmediatas para reducir el riesgo. La más evidente: desactivar Chrome Sync o, al menos, usar la opción "Personalizar sincronización" para excluir datos especialmente sensibles como contraseñas y medios de pago. Google también recuerda que es posible cifrar toda la información sincronizada mediante una frase de contraseña. Es cierto que esta opción desactiva algunas funciones —como Smart Lock—, pero multiplica la seguridad. Es un pequeño sacrificio a cambio de evitar que una intrusión comprometa tu identidad digital completa.
En paralelo, Google está desplegando nuevas herramientas para mitigar los ataques incluso cuando los datos ya han sido robados. Las passkeys ya están disponibles para millones de usuarios de Workspace, ofreciendo inicios de sesión más rápidos y resistentes al phishing. También están en fase beta las Device Bound Session Credentials, un sistema que vincula las cookies de sesión al dispositivo que inició sesión, bloqueando su reutilización en caso de robo. Y, por último, el nuevo Shared Signals Framework permitirá que Google reaccione automáticamente cuando plataformas asociadas detecten actividad sospechosa.
El mensaje final de Google es inequívoco: hay que dejar atrás los métodos de autenticación débiles. Las claves por SMS son interceptables y ya no se consideran seguras, así que la compañía recomienda migrar cuanto antes a passkeys y a formas de MFA más robustas. Y, para quienes dependan de Chrome Sync, revisar qué datos se sincronizan y cómo están protegidos es esencial. En un escenario en el que los account takeovers van claramente al alza, reforzar la cuenta de Google no es una recomendación: es una necesidad urgente.