Sumándose a la moda iniciada por Twitter, el mes pasado Gmail presentó su propia marca azul, un indicador de identidad diseñado para mejorar la confianza en los correos que llegan de compañías y entidades conocidas; sin embargo, la marca de Gmail ha resultado ser tan poco fiable como la de Twitter.
En teoría, la marca azul de Gmail aparece al lado del nombre de los remitentes cuya identidad ha sido verificada; indica que el correo que hemos recibido es fiable y que realmente ha sido escrito por la entidad o persona que dice ser. Es una herramienta nacida para luchar contra el llamado 'phishing', una técnica que consiste en hacerse pasar por otro usuario, usando el mismo nombre, la misma marca y el mismo estilo para los correos.
Un ejemplo clásico de 'phishing' son los mensajes falsos del banco, que indican al cliente que va a recibir una transferencia, o que hay un problema con su cuenta, y que debe escribir la contraseña para completar el proceso. Por supuesto, lo único que buscan esos correos es obtener los datos de acceso de los usuarios para robarles el dinero, pero hay otros correos falsos que son más difíciles de detectar, y ahí es donde entra la nueva marca azul. Al menos, en teoría.
Marca azul de Gmail no es fiable
Y es que un experto en ciberseguridad, @chrisplummer en Twitter, ha descubierto que es posible enviar correos con la marca azul haciéndose pasar por una compañía o persona; y que de hecho, los primeros mensajes falsos ya están apareciendo en las bandejas de entrada de los usuarios. Pero lo peor de todo ha sido la respuesta de Google de que todo funcionaba como es debido y que no iban a solucionar el fallo que permite obtener una marca azul sin ser verificado.
Según el investigador, un 'bug' o fallo en el software permite obtener una marca azul en el correo, sin necesidad de obtenerla de manera verificada. Aunque no ha especificado el problema concreto, sí que ha explicado la técnica usada: el atacante envió el correo a través de una cuenta de Facebook, por una red del Reino Unido, hacia Office 365, hasta la cuenta de correo de la víctima. Todos esos saltos y redirecciones pueden estar confundiendo al sistema, que se fía del eslabón más débil. Gmail se fija en una especificación llamada BIMI ('Brand Indicators for Message Identification'), basado a su vez en el estándar DMARC, que usa diversos métodos, como la dirección IP, para determinar si el correo es auténtico.
Alguna parte de ese proceso ha fallado y es posible enviar correos haciéndose pasar por entidades conocidas. Como ejemplo, el investigador ha mostrado un correo electrónico que usa el logotipo de UPS, la compañía de transporte de paquetes. El correo muestra el típico mensaje "Tu paquete llega hoy", con un enlace para comprobar el estado del envío; pero el correo es falso y el enlace realmente no lleva a la página de UPS. Lo preocupante es que es un correo malicioso típico, que debería ser fácil de detectar pero que Gmail hace pasar como verídico.
El investigador ha criticado a Google, no necesariamente por el problema (los 'bugs' son ocurrencias habituales), sino por su respuesta. La compañía inicialmente negó que esto fuese un problema y descartó aceptar el reporte del investigador; posiblemente para no pagarle. Como otras compañías tecnológicas, Google tiene un sistema de "recompensas" que ofrece dinero a investigadores que informen de fallos en su software; pero en muchas ocasiones, eso hace que sea difícil que los informes sean aceptados de primeras. No fue hasta que el investigador publicó el resultado de su investigación en Twitter que Google aceptó el 'bug'. En una declaración a 9to5Google, la compañía afirma que se trata de una vulnerabilidad de un tercero, que fue usada para que el correo pareciese más fiable de lo que realmente era. En respuesta, Google afirma que va a cambiar el método de autenticación, requiriendo pruebas "más robustas" de la identidad del remitente.