Cuidado con este timo: el ‘check azul’ de Gmail lo acepta como e-mail verificado por error
Desde hace dos años, Gmail invita a las empresas e instituciones a verificar su logotipo de marca para que aparezca a modo de avatar junto a los e-mails que recibimos. ¿El objetivo? Reducir la amenaza del phishing, basado en el envío de e-mails fraudulentos. Hace un mes, Google llevó este método un paso más allá […]

Desde hace dos años, Gmail invita a las empresas e instituciones a verificar su logotipo de marca para que aparezca a modo de avatar junto a los e-mails que recibimos. ¿El objetivo? Reducir la amenaza del phishing, basado en el envío de e-mails fraudulentos.

Hace un mes, Google llevó este método un paso más allá y se apuntó a la moda del check azul creada por Twitter: ahora, cada vez que pasamos el cursor sobre la insignia se nos muestra un mensaje de «el remitente de este correo electrónico ha sido verificado».

Además, esta insignia sólo puede ser solicitada por marcas registradas cuyo dominio de envío de los e-mails implemente un estándar llamado BIMI. Parece todo bastante seguro, ¿verdad?

Este tuit ha demostrado un agujero en el sistema de verificación de e-mails de Google

Bueno, sí, hasta que recibes un email, tu GMail lo muestra junto al logo de la empresa de mensajería UPS y el ‘check azul’ que evidencia que es un usuario verificado por Google… pero, al entrar en el e-mail te das cuenta de que algo va mal: ese correo no lo puede haber enviado UPS. Es un timo online.

Así que revisas la dirección de procedencia. Uhm… ‘rvrERrch5@kelerymjrlnra.ups.com’ no parece la típica dirección institucional de UPS, por mucho que incluya su dominio. Pero le ha servido para obtener el check azul que lo acredita como fiable a ojos de Google… y de muchos usuarios que caerán, confiados, en la trampa de los timadores.

No te fíes de ese e-mail ni aunque conozcas al remitente: puede falsificarse… pero con este truco puedes salir de dudas

En Genbeta

No te fíes de ese e-mail ni aunque conozcas al remitente: puede falsificarse… pero con este truco puedes salir de dudas

Y por lo que cuenta el usuario al que le llegó este email y desveló la historia en Twitter, la compañía no parecía muy interesada en verificar lo adecuado de ese check (contestó a su ticket diciendo que no apreciaba ningún comportamiento imprevisto en la funcionalidad)… no hasta que su tuit de denuncia superó las 100.000 visualizaciones, al menos.

Ahora Google lo ha reconocido como una ‘brecha del sistema’ y está estudiando qué pudo fallar. Es posible que parte del problema de seguridad resida en UPS (al fin y al cabo están usando uno de sus subdominios), pero el aviso del check azul reconoce explícitamente al remitente como propietario del subdominio malicioso, no del dominio originalmente verificado por Google a instancias de la verdadera UPS.

Está bien que Google esté detrás del problema (incluso si ha habido que darle una multitudinaria colleja en Twitter), pero está claro que el check azul de Google no es, por ahora, garantía total de nada, lo cual le quita bastante utilidad al asunto. No llega al nivel de Twitter, claro, pero…

En Genbeta | Distinguir una cuenta real de una ‘fake’ en Twitter ahora que no están verificadas: estos consejos te ayudarán a hacerlo


La noticia

Cuidado con este timo: el ‘check azul’ de Gmail lo acepta como e-mail verificado por error

fue publicada originalmente en

Genbeta

por
Marcos Merino

.