No ha pasado ni un mes, pero los checks azules de Gmail ya se encuentran en problemas debido a su vulnerabilidad.
El mes pasado, desde Google anunciaron un nuevo sistema de verificación, el cual consistía en checks azules para Gmail, lo que debía servir a las marcas usuarias para evitar todo tipo de correos electrónicos fraudulentos. Pues bien, no ha pasado ni un mes y este sistema ya está siendo más que cuestionado, puesto que algunos estafadores ya han descubierto cómo aprovechar este método. Seguro que el gigante tecnológico no se planteaba encontrarse en esta tesitura tan pronto.
La función de estos checks azules prometía ser de lo más interesante para las empresas que quisieran verificar sus cuentas de Gmail, con el objetivo de dejar más que claro que esos correos pertenecen a sus respectivas empresas. Sea como fuere, esta herramienta no ha tenido el mejor estreno posible, ya que parece que estos checks azules se pueden falsificar.
Ha pasado menos de un mes desde su estreno, pero los checks azules de Gmail ya están siendo usados por estafadores
Concretamente, fue Chris Plummer, un arquitecto senior de seguridad cibernética de Dartmouth Health, se dejó caer por Twitter recientemente para explicar el mencionado problema con las marcas de verificación de Gmail, como bien informan desde 9to5Google. Cabe mencionar que el sistema mencionado de Gmail usa indicadores de marca para la identificación de mensajes (BIMI), así como DMARC (autenticación, informes y conformidad de mensajes basados en dominios) y un VMC (certificado de marca verificada) emitido por una autoridad de certificación, como Entrust o DigiCertto, para verificar ambos.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix – intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— plum (@chrisplummer) June 1, 2023
El mencionado experto en seguridad cibernética no quiso entrar en detalles sobre cómo estos estafadores consiguieron evadir el sistema de verificación de Google, aunque sí que ofrece un ejemplo de un correo electrónico, como podéis ver, completo con su información bien detallada y que usaba el logo de UPS con un dominio que contaba con «ups.com», con el cual conseguían falsificar este check azul en este correo electrónico, que evidentemente no era ni mucho menos real.
Desde Google ya plantean una solución
Por otro lado, si bien en un principio no estaba claro si Google apostaría por encontrar una solución concreta, parece que la respuesta es que sí, la compañía apuesta por solucionar y prevenir más casos de estafadores haciéndose pasar por empresas. Concretamente, en una declaración de estos explican que este contratiempo proviene de una vulnerabilidad de terceros y que, en respuesta, Google requerirá que los remitentes usen el estándar de autenticación DomainKeys Identified Mail (DKIM). Este nuevo requisito mencionado se implementará a fines de esta semana.
La mencionada declaración dice lo siguiente: «Este problema se deriva de una vulnerabilidad de seguridad de terceros que permite que los malos actores parezcan más confiables de lo que son. Para mantener a los usuarios seguros, exigimos a los remitentes que utilicen el estándar de autenticación DomainKeys Identified Mail (DKIM) más sólido para calificar para los indicadores de marca para el estado de identificación de mensajes (marca de verificación azul)».
Fuente info
Autor: Fran Pérez