Google dice que ha solucionado un problema en Gmail que vio a los estafadores haciéndose pasar por una empresa legítima y, lo que es más importante, verificada, pero afortunadamente, parece que ningún usuario resultó dañado.
El proveedor de servicios de correo electrónico recientemente amplió el programa de autenticación de correo electrónico BIMI que lanzó hace casi dos años al permitir que ciertas empresas elegibles muestren una marca de verificación azul junto a su nombre, en un intento por ayudar a los usuarios a distinguir los correos electrónicos seguros en la bandeja de entrada.
Los correos electrónicos en cuestión parecían provenir del gigante de la entrega UPS, sin embargo, afortunadamente, El registro informa que no se incluyó ninguna carga útil maliciosa.
Autenticación de Gmail pirateada
BIMI requiere que las empresas participantes adopten Autenticación, informes y conformidad de mensajes basados en dominios (DMARC), así como el Marco de políticas del remitente (SPF) o el Correo identificado con claves de dominio (DKIM).
Una vulnerabilidad en SPF es la culpable de permitir que los estafadores se hagan pasar por UPS, incluso adoptando el logotipo de la empresa y la marca de verificación azul, según Chris Plummer, quien compartió sus hallazgos a través de un Pío.
El hilo detalla la respuesta inicial de Google, en la línea de «no arreglará – comportamiento previsto», antes de que la presión de Plummer e Internet hiciera que reconsiderara su postura. Una comunicación posterior de Google a Plummer dice:
“Después de observar más de cerca, nos dimos cuenta de que, de hecho, esto no parece una vulnerabilidad SPF genérica. Por lo tanto, estamos reabriendo esto y el equipo apropiado está observando más de cerca lo que está sucediendo”.
Google se disculpó con Plummer por su respuesta inicial, que dijo que «podría haber sido frustrante», y agradeció al usuario de Twitter por «presionar por [Google] para echar un vistazo más de cerca.”
Si bien este ejemplo aislado parece no haber causado ningún problema, no está claro cuántas otras cuentas se han suplantado y cuántos usuarios de correo electrónico han sido víctimas de otras estafas.
Google no respondió de inmediato a TechRadar ProLa solicitud de una actualización sobre el asunto.