Las casillas azules no han salvado el día: los estafadores han aprendido a saltarse el control "oficial" del correo electrónico.
Hace menos de un mes, Google anunció una función de "tick azul" para Gmail, cuyo objetivo es combatir los correos electrónicos fraudulentos. Sin embargo, en pocas semanas, los estafadores ya han encontrado la manera de burlar este sistema.
Esto es lo que sabemos
El mes pasado, Gmail lanzó una nueva función llamada marcas azules, que permite a las empresas verificar sus correos electrónicos de marketing y otros mensajes para marcarlos como "oficiales". A primera vista, esto suena muy bien, pero en realidad, los resultados no son tan impresionantes.
Chris Plummer, arquitecto jefe de ciberseguridad de Dartmouth Health, tuiteó la semana pasada que las marcas de verificación azules de Gmail pueden falsificarse. Identificó un problema relacionado con los indicadores de marca (BIMI), DMARC (autenticación de mensajes basada en dominios, informes y cumplimiento) y VMC (certificado de marca verificada) que utiliza Gmail para verificar logotipos y dominios adjuntos:
No cabe duda de que existe un error en Gmail del que se aprovechan los estafadores para hacer esto, por lo que envié un error que @google cerró perezosamente como "no se solucionará - comportamiento previsto". ¿Cómo puede ser "intencionado" que un estafador se haga pasar por @UPS de forma tan convincente? pic.twitter.com/soMq7KraHm
- plummer (@chrisplummer) 1 de junio de 2023
Plummer no dijo cómo los estafadores lograron burlar el sistema, pero sí proporcionó un ejemplo de un correo electrónico con más detalles que utilizaba el logotipo de UPS junto con un dominio que contenía "ups.com" para falsificar una marca de verificación azul en un correo electrónico que obviamente no era oficial.
En un comunicado emitido por Google poco después de la publicación del tweet, la compañía explicó que el problema se debía a una vulnerabilidad de terceros y que, en el futuro, exigiría a los remitentes que utilizaran el estándar de autenticación DomainKeys Identified Mail (DKIM) para poder optar a las marcas de verificación azules.
Fuente: 9to5Google
