Google introdujo recientemente un sistema de verificación de marca de verificación azul para Gmail con el objetivo de prevenir correos electrónicos fraudulentos.
Sin embargo, en menos de un mes, los estafadores han encontrado formas de explotar el nuevo sistema implantado por la compañía Google.
El problema con las marcas de verificación azules de Gmail
La idea detrás de las marcas de verificación azules de Gmail es permitir a las empresas verificar sus correos electrónicos de marketing y otros mensajes para que sea más evidente cuáles son «oficiales». Sin embargo, como se ha revelado, este sistema tiene sus deficiencias.
Chris Plummer, un arquitecto senior de seguridad cibernética de Dartmouth Health, señaló en Twitter un problema con las marcas de verificación azules de Gmail.
Demostró cómo es posible falsificar estas insignias, lo que compromete la autenticidad de los correos electrónicos.
El funcionamiento del sistema de Gmail
El sistema de Gmail utiliza indicadores de marca para la identificación de mensajes (BIMI), así como DMARC (autenticación, informes y conformidad de mensajes basados en dominios) y un VMC (certificado de marca verificada) emitido por una autoridad de certificación.
Estos elementos se utilizan para verificar tanto el logo como el dominio adjunto.
La falsificación de marcas de verificación
Plummer no revela los detalles específicos de cómo los estafadores lograron burlar el sistema, pero proporcionó un ejemplo de un correo electrónico falso que utilizaba el logotipo de UPS con un dominio que incluía «ups.com» para falsificar una marca de verificación.
Esto demuestra cómo los estafadores pueden hacer que un correo electrónico no oficial parezca legítimo.
La respuesta de Google
Inicialmente, Google catalogó el informe de error de Plummer como «comportamiento intencionado«.
Sin embargo, más tarde revirtió su postura y reabrió el problema, reconociendo la existencia de la vulnerabilidad.
Aunque no se ha establecido un plazo, se espera que Google trabaje en una solución.
La medida de seguridad adicional de Google
En respuesta a esta vulnerabilidad, Google ha anunciado que requerirá que los remitentes utilicen el estándar de autenticación DomainKeys Identified Mail (DKIM) para calificar para las marcas de verificación azules.
Esta medida adicional se implementará a fines de esta semana con el objetivo de fortalecer la autenticidad de los correos electrónicos y proteger a los usuarios.
Si bien el sistema de marca de verificación azul de Gmail tenía la intención de prevenir correos electrónicos fraudulentos y mejorar la seguridad, los estafadores han demostrado su capacidad para falsificar estas marcas.
Google está trabajando en una solución y ha introducido requisitos adicionales para fortalecer la autenticidad de los correos electrónicos.
Es un recordatorio de que la seguridad cibernética es un desafío constante y las empresas deben estar atentas a las vulnerabilidades y tomar medidas para proteger a los usuarios.
Comentarios!