Hace apenas dos meses, Google anunció la llegada de un sistema de verificados a Gmail. El sistema, similar al antiguo blue check de Twitter, estaba pensado para que los usuarios pudieran saber cuándo el remitente de un correo es genuino. Pues bien, acaban de descubrir que los hackers ya saben cómo duplicarlo.
El sistema de checkmarks de Gmail sirve para que empresas u organizaciones puedan obtener una insignia (un check azul) que aparece junto a su nombre de remitente en todos sus correos electrónicos. De esta forma los usuarios de Gmail que reciben estos correos pueden comprobar de un vistazo que proceden de la empresa auténtica. Muy útil si, por ejemplo, recibes un correo de tu banco o de una empresa de mensajería como UPS diciendo que has recibido un paquete.
El problema es que los ciberdelincuentes ya han encontrado la manera de imitar ese icono azul, lo que echa por tierra toda la utilidad que pudiera tener. Como explican en Android Central, un ingeniero de la firma de ciberseguridad InfoSecurity llamado Christopher Plummer fue el primero en reportar el fallo. Plummer descubrió un correo supuestamente remitido por UPS que tenía el check azul. Sin embargo, ni la dirección del remitente ni nada de su contenido era genuino, sino una estafa para intentar robar los datos del usuario.
La parte más irónica del asunto es que Plummer reportó el problema a Google y le respondieron diciendo que el correo no tenía nada de raro. La compañía solo reaccionó cuando el ingeniero tuiteó su descubrimiento y este se hizo viral. En un segundo correo, Google se disculpó por el error y explicó que la vulnerabilidad está siendo investigada por los equipos de seguridad. Plummer comentó poco después que efectivamente Google ha clasificado el problema como de máxima prioridad.
Para hacer las cosas peores, parece que el problema va bastante más allá de Google. El depurador de código Jonathan Rudenberg explica en un post que no solo ha podido replicar la vulnerabilidad, sino que además esta puede usarse para simular correos verificados en otros servicios tan populares como iCloud, Yahoo, Fastmail o Apple Mail. Según Rudenberg, el problema esté en la función BIMI (Brand Indicators for Message Identification) que usa Gmail, que se basa solo en un método de verificación llamado SPF que puede ser fácilmente engañado para suministrar datos falsos al sistema de verificados. Todo indica que, de momento, examinar atenmtamente la dirección real del destinatario (y no su nombre de usuario) sigue siendo la mejor práctica para evitar que nos estafen. Eso y tener siempre en la cabeza la intuición de que, si algo parece falso, probablemente es porque lo es.