Alerta en Gmail: piratas informáticos consiguen marcas de verificación y confunden a sus víctimas
Un especialista advirtió que estafadores logran que Google compruebe sus cuentas como si fuesen de compañías legítimas. ¿Qué medidas de precaución hay que tomar?
05 de junio 2023
El mes pasado, Gmail lanzó sus propias marcas de verificación similares a las de Twitter. El propósito de la función es brindar mayores garantías al recibir correos de parte de empresas, que al tener la tilde azul junto al nombre de la cuenta demuestran su autenticidad. Sin embargo, el sistema no es tan fiable, reveló un especialista en seguridad informática.
Marcas de verificación en Gmail: ¿para qué sirven?
- Es un aval oficial (por parte de Google) para las cuentas oficiales, por ejemplo de organizaciones y empresas.
- Al menos en los papeles, un correo electrónico en la bandeja de entrada con una marca de verificación azul indica que se puede abrirlo en forma segura.
- En tanto, es una función de seguridad que ayudaría a eludir estafas, spam y hackeos.
Gmail: cibercriminales aprovechan una falla en las marcas de verificación
Un ingeniero especializado en ciberseguridad, Chris Plummer, publicó un tuit en el que dio cuenta de los problemas en las marcas de verificación de Gmail. El experto notó que gracias a un error en ese nuevo método en la plataforma de email, piratas informáticos también pueden conseguir la tilde azul.
“Hay un error en Gmail que los estafadores están explotando para lograr esto, así que envié un error que Google cerró perezosamente y lo marco como un comportamiento previsto”. ¿Cómo es que un estafador se hace pasar por UPS de una manera tan convincente?”, escribió en Twitter.
Según informó la publicación Forbes, Plummer envió el informe a Google luego de detectar que un estafador enviaba correos verificados haciéndose pasar por una empresa de envío de paquetería, UPS. El aviso fue rechazado en primera instancia por los responsables de Gmail, indicando que aquel es un “comportamiento previsible”.
El correo de los estafadores incluía la marca de verificación y otros elementos usuales en las campañas de phishing (que se apoyan en la suplantación de identidad), como el escudo de UPS. “Los 1.800 millones de usuarios activos de Gmail deben estar al tanto de esta advertencia para evitar que los estafen”, notó en su repaso el sitio Phone Arena.
Un problema con prioridad máxima: Google dio un giro y reconoció el riesgo en Gmail
En un vuelco inesperado, desde la compañía del buscador emitieron el siguiente comunicado. “Después de observar (el informe) con más detalle, nos dimos cuenta de que esto no parece una vulnerabilidad genérica. Por lo tanto, estamos reabriendo esto y el equipo apropiado está analizando más de cerca lo que está pasando”.
“Nos disculpamos por la confusión y entendemos que nuestra respuesta inicial podría haber sido frustrante, ¡muchas gracias por presionarnos para que echemos un vistazo más de cerca a esto! Los mantendremos informados acerca de nuestra evaluación y la dirección que toma este problema”, agregaron desde el equipo de seguridad de Google.
La compañía con sede central en Mountain View calificó a la falla como P1, es decir, de máxima prioridad.
Consejos para evitar estafas por correo electrónico
La falla de seguridad en Gmail, más específicamente en sus flamantes marcas de verificación, sirve como recordatorio para que los usuarios siempre estemos atentos ante el accionar de la piratería y los intentos de estafas, que sin pausa renuevan sus estrategias para eludir las barreras de seguridad que se les interponen en el camino.
Es cierto que las marcas de verificación se presentan como una garantía de seguridad. Amén de ello, no deberíamos confiar a ciegas y, en tanto, seguir aplicando algunas de las máximas de la seguridad informática:
- No tocar en enlaces desconocidos.
- Nunca compartir información sensible y privada por estos medios, como números de tarjetas y códigos.
- Navegar en sitios seguros, que tengan el candado junto a la URL y comiencen con https:// en lugar de http://.
- En caso de recibir avisos por email que generan una mínima sospecha, comunicarse directamente con las compañías a través de sus canales oficiales.
Fuente TN