Google cuenta con un nuevo sistema de verificación de correos electrónicos, con el que busca confirmar la entidad del remitente del mensaje para que el usuario tenga la certeza de que está recibiendo una comunicación oficial.
Esta insignia llega en un momento en el que los ataques por suplantación, conocidos como phishing, han tenido un crecimiento del 50% en el último año, según un informe de Zscaler, y que tienen como una de sus principales vías de ataque los correos.
El proceso para obtenerla es similar al de redes como Twitter e Instagram, en el que la empresa valida la información y entrega la verificación con un check azul que acompaña el nombre de usuario.
Este nuevo modelo fue lanzado hace más de un mes y la compañía ya detectó un primer error, en el que un grupo de ciberdelincuentes lograron engañar los procedimientos para obtener la insignia y comunicarse con los usuarios, suplantando la identidad de otras empresas.
“Después de observar más de cerca, nos dimos cuenta de que, de hecho, esto no parece una vulnerabilidad genérica. Por lo tanto, estamos reabriendo el caso y el equipo correspondiente está examinando más de cerca lo que está sucediendo”, fue la respuesta de Google a Chris Plummer, el ingeniero que encontró la vulnerabilidad.
El experto en ciberseguridad publicó una imagen en la que se ve cómo los delincuentes lograron obtener la verificación para hacerse pasar por UPS, una empresa de logística, y enviar mensajes para engañar a los usuarios, a pesar de que la dirección de correo tenía claras características de ser falsa.
En este momento, Google confirmó que está trabajando en una solución y que se comunicará con Plummer para contarle sobre la evolución de la situación.
Cómo funciona la verificación azul de Gmail
Como es común en este tipo de insignias, se encuentra ubicada justo al lado del nombre del remitente, de. Aunque en este caso los perfiles no tendrán que pagar ninguna suscripción para conseguirla.
Además de ver el check azul, los usuarios tendrán la opción ubicar el cursor sobre ese ícono para ver un mensaje que corrobora la oficialidad del perfil, ya que los delincuentes podrían poner un emoticón que simule la verificación.
Por ahora esta iniciativa está en proceso de expansión, por lo que solo las cuentas de las compañías serán las que recibirán la verificación y estas deben ser aceptadas por Google mediante el sistema BIMI.
Este es un estándar en el que las empresas deben cumplir con dos requisitos de seguridad. Por un lado, tener la autenticación basada en dominios, conocida como DMARC, y que consiste en evitar que los atacantes puedan suplantar la identidad de la marca o falsificar su dominio. También tendrán que contar con un logotipo de la marca certificado mediante un proceso de registro de propiedad intelectual en un país, que solo se le da a una organización legítimamente constituida.
Cómo reportar un correo malicioso en Gmail
La plataforma de Google ofrece herramientas de seguridad para sus usuarios. Una de ellas es detectar un mensaje malicioso y enviarlo de inmediato a la carpeta de Spam, evitando que se genere una notificación de su llegada o que el usuario la vea en la página principal.
Los pasos para hacer el reporte de un correo, estos son los pasos a seguir
1. Ir a Gmail en un ordenador o dispositivo móvil.
2. Abrir el mensaje malicioso.
3. Dirigirse a Responder y junto a esa opción aparecerá una llamada Más, hacer clic en ella.
4. Se desplegará un menú y en él estará la casilla Denunciar suplantación de identidad.