Los hackers encuentran la forma de burlar el sistema de verificación de Gmail y amenazan la seguridad de los usuarios.
Hace tan solo dos meses, Google presentó una nueva función de verificación en Gmail, similar al famoso "check azul" de Twitter, con el objetivo de permitir a los usuarios identificar remitentes auténticos. Sin embargo, recientemente se ha descubierto que los hackers han encontrado una manera de duplicar este sistema.
El sistema de marcas de verificación en Gmail permite a las empresas y organizaciones obtener un distintivo (una marca azul) que aparece junto a su nombre de remitente en todos los correos electrónicos enviados. Esto facilita a los usuarios de Gmail la verificación visual de la autenticidad del remitente, especialmente útil al recibir correos de entidades como bancos o empresas de mensajería, como UPS.
Hackers imitan la verificación de Gmail
Lamentablemente, los ciberdelincuentes ya han encontrado la forma de imitar este icono azul, invalidando así su utilidad. Según lo informado por Android Central, Christopher Plummer, ingeniero de la firma de ciberseguridad InfoSecurity, fue el primero en descubrir esta falla.
Plummer recibió un correo aparentemente remitido por UPS que mostraba el distintivo azul. Sin embargo, ni la dirección del remitente ni el contenido eran auténticos; se trataba de una estafa destinada a robar los datos del usuario.
Resulta irónico que Plummer informó del problema a Google, pero la compañía inicialmente consideró que no había nada inusual en el correo. Solo después de que el ingeniero compartiera su descubrimiento en Twitter y se volviera viral, Google reaccionó. En un segundo correo electrónico, la empresa se disculpó por el error y confirmó que el problema está siendo investigado por sus equipos de seguridad. Plummer comentó más tarde que Google ha calificado el problema como de máxima prioridad.
Para empeorar las cosas, parece que el problema se extiende más allá de Google. Jonathan Rudenberg, un depurador de código, ha explicado en una publicación que no solo ha logrado replicar la vulnerabilidad, sino que también se puede utilizar para simular correos verificados en otros servicios populares como iCloud, Yahoo, Fastmail y Apple Mail. Según Rudenberg, la falla radica en la función BIMI (Brand Indicators for Message Identification) que utiliza Gmail, basada únicamente en un método de verificación llamado SPF, que puede ser fácilmente engañado para proporcionar datos falsos al sistema de verificación.
Por el momento, todo indica que la mejor práctica para evitar ser estafados es examinar cuidadosamente la dirección real del destinatario y no solo su nombre de usuario.
Además, es importante tener siempre en mente que si algo parece falso, probablemente lo sea. La seguridad en el correo electrónico continúa siendo un desafío constante, y se espera que tanto Google como otros proveedores de servicios tomen medidas para abordar esta vulnerabilidad y proteger la privacidad de los usuarios.
Te puede interesar: Cómo evitar que Google borre tu cuenta de Gmail para siempre