Google ideó la protección anti phising perfecta para Gmail, pero ya la han burlado: el 'check' azul aparece en correos falsos

El sistema de autenticación de Gmail no es infalible y los estafadores ya lo han burlado

Gmail Fallo Check Azul
3 comentarios Facebook Twitter Flipboard E-mail

Más allá de la verificación en Twitter que ha pasado a ser propiedad de quienes pagan una suscripción, hace un mes que Gmail integró las insignias de verificación con la causa que deberían tener siempre: diferenciar las cuentas oficiales de las no oficiales. En este caso, para empresas. La jugada les ha salido al revés.

Principalmente esta medida se implementó para evitar el phising, es decir, que se usasen nombres de empresas para intentar estafar a usuarios. Sin embargo, han logrado burlar el sistema que usa Google y algunas empresas se están viendo suplantadas y ahora con el añadido de la verificación azul.

Rizando el rizo de la suplantación de identidad

El contexto de la aparición de esta insignia, como ya veníamos diciendo al inicio, se encuentra en la necesidad de diferencias a empresas reales de los estafadores. No en vano, recibimos a diario numerosos correos no deseados que, aunque suelen caer en la carpeta de ‘spam’, a menudo se cuelan en la bandeja de entrada.

En esos emails se dice ser una conocida empresa con el fin de que la víctima lo crea y siga sus instrucciones, que van desde descargar un archivo adjunto que es malicioso, hasta entrar en un enlace externo en el que nos piden datos personales e incluso de pago para realizar una acción. La verificación (el ‘check’ azul) debería servir para distinguir esas estafas de correos reales de las empresas.

Sin embargo, como comenta en Twitter un experto en ciberseguridad, están llegando algunos correos verificados cuando no provienen de la empresa real que debería. Adjunta de ejemplo un email que presuntamente viene de la empresa de mensajería UPS y que, a la vista de cuál es la dirección del correo del remitente, no es realmente UPS.

El experto no arroja detalles acerca de cómo se ha logrado vulnerar el sistema de autenticación de Google, probablemente en favor de que no corra como la espuma y otros ciberdelincuentes se sumen a ello. El caso es que puede ser sumamente problemático. Cualquiera puede dar por confiable un correo recibido con ese ‘check’ y, como vemos, no es ya sinónimo de veracidad.

Está claro que el sistema que usa Gmail para autentificar empresas y otorgarles la insignia flojea por alguna parte. Hasta ahora Google había confiado todo a corporaciones como Entrust o DigiCertto para verificar tanto el logo como el dominio del correo.

En 9to5Google informan de que la propia Google reconoce ya el problema, aunque adjudica la causa a terceros, y que anuncian que en próximos días implementarán un nuevo requisito para la verificación. En concreto, dicen que pedirán que se use el estándar de autenticación DKIM (DomainKeys Identified Mail).

Es por ello que, a expensas de ese cambio, te recomendamos extremar las precauciones si recibes un correo verificado. Trata de ver si la dirección de correo del remitente es real (aunque puede estar enmascarada) y sobre todo pon en tela de juicio el contexto. Si te piden descargar un archivo o entrar a un enlace sospechoso, desconfía

Vía | 9to5Google

Imagen de portada | Clfr21 en Pixabay | Feen en Flaticon | Wikipedia

En Xataka Android | Todo lo que tu móvil Android hace por ti para que no caigas en estafas o te hackeen

Comentarios cerrados
Inicio