Se ha emitido una nueva advertencia de seguridad para los 1.800 millones de usuarios de Gmail de Google debido a una vulnerabilidad en el sistema de autenticación BIMI de Gmail. Los estafadores se han aprovechado de esta función de seguridad, poniendo en peligro a los usuarios.
Este artículo explora el descubrimiento, los esfuerzos de mitigación y los métodos de prevención relacionados con un reciente caso de seguridad de Gmail. Abarca el papel de PowerDMARC para detener los ataques de suplantación de identidad.
Descubrimiento: Explotar los identificadores BIMI de Gmail
La seguridad de Gmail siempre ha sido uno de sus principales argumentos de venta. Sin embargo, recientemente se ha descubierto un fallo importante en una de sus principales funciones de seguridad.
El mes pasado, Google introdujo el sistema de marcas de verificación BIMI de Gmail. Ayuda a los usuarios a distinguir los correos electrónicos reales de los enviados por estafadores.
Sin embargo, los estafadores han encontrado una forma de explotar este sistema, poniendo a 1.800 millones de usuarios en peligro.
Se introdujo para combatir los ataques de suplantación de identidad y phishing. El marca de verificación azul de Gmail destaca las empresas y organizaciones verificadas ante los usuarios.
La idea era infundir confianza a los usuarios y permitirles discernir qué correos electrónicos son legítimos y cuáles pueden haber sido enviados por suplantadores. Por desgracia, los estafadores han conseguido manipular el sistema.
Mitigación: Google reconoce el problema
Chris Plummer, ingeniero de ciberseguridad de Gmail, fue el primero en detectar la manipulación del sistema BIMI de Gmail por parte de los estafadores. Engañaron a Gmail para que viera sus marcas falsas como reales. Esto permitió a los estafadores eludir el propósito del sistema. Su finalidad era fomentar la confianza de los usuarios.
Plummer comunicó inmediatamente sus hallazgos a Google. Esperaban una respuesta rápida para solucionar la vulnerabilidad. Google ignoró inicialmente su descubrimiento. Lo calificaron de "comportamiento intencionado". Esto causó frustración entre los expertos en seguridad y los usuarios.
Gracias a la atención generada por los tweets de Plummer y a la posterior propagación viral del problema, Google no tardó en reconocer la gravedad del problema. La empresa reconoció el error y lo clasificó como solución de máxima prioridad.
En una declaración dirigida a Plummer, el equipo de seguridad de Gmail expresó su gratitud por su persistencia en dar a conocer el problema. Le aseguraron a él y a la comunidad de usuarios que el equipo correspondiente estaba resolviendo la vulnerabilidad.
Prevención: Hacia una solución
El equipo de seguridad de Gmail está abordando activamente el fallo en el sistema de autenticación BIMI de Gmail. Han pedido disculpas por la confusión causada. También han expresado su compromiso de resolver el problema con prontitud.
La solución está actualmente en curso. El equipo de seguridad de Gmail pretende mantener informados a los usuarios sobre su evaluación y la dirección que toman para resolver el problema. Mientras se espera la solución, los usuarios de Gmail deben permanecer atentos y actuar con cautela ante correos electrónicos sospechosos.
Actualización: Comprender el alcance del problema
Recientemente se ha investigado el sistema de verificación del logotipo de Gmail. Han mostrado cómo lo explotan los estafadores y lo que eso significa para otros servicios de correo electrónico.
Jonathan Rudenberg es un depurador del equipo de seguridad de Gmail. Ha replicado el hackeo en Gmail y ha demostrado que otros grandes servicios de correo electrónico también son vulnerables a ataques similares.
Esta revelación ha suscitado preocupación en la comunidad de seguridad por la vulnerabilidad y la deficiente implementación del método de verificación de Gmail.
Rudenberg descubrió que la implementación BIMI de Gmail sólo requiere SPF para coincidir. La firma DKIM puede ser de cualquier dominio.
Esta configuración errónea permite que cualquier servidor de correo compartido o mal configurado en los registros SPF de un dominio habilitado para BIMI envíe mensajes falsos. Estos tendrán el tratamiento BIMI completo en Gmail.
Otras investigaciones sobre BIMI en otros importantes servicios de correo electrónico han revelado lo siguiente:
- iCloud comprueba correctamente que DKIM coincide con el dominio De.
- Yahoo sólo concede el tratamiento BIMI a los envíos masivos de gran reputación.
- Fastmail es vulnerable pero soporta Gravatar y utiliza el mismo tratamiento para ambos, minimizando el impacto.
- Apple Mail + Fastmail es vulnerable a un tratamiento peligroso.
Estos resultados demuestran la necesidad de mejorar la seguridad. Es necesaria en muchos servicios de correo electrónico. Evitará que los estafadores se aprovechen de los puntos débiles.
Actualización: Respuesta de Google y medidas inmediatas
El equipo de prensa de Google ha proporcionado más detalles sobre el pirateo de la verificación de Gmail. El problema se deriva de una vulnerabilidad de seguridad de terceros que permite a los malos actores aparentar más confianza de la que tienen.
Para garantizar la seguridad de los usuarios, Google exige ahora a los remitentes que utilicen DKIM. Se trata de un estándar de autenticación de correo electrónico más sólido. Los remitentes necesitan DKIM para obtener el estado de Indicadores de marca para la identificación de mensajes (marca azul).
DKIM proporciona un mayor nivel de autenticación y ayuda a evitar los ataques de suplantación de identidad.
Google ha asegurado a los usuarios que a finales de esta semana se habrá solucionado la vulnerabilidad. La rápida detección y solución de este problema demuestra el compromiso de Google con la seguridad de los usuarios.
Pero, Google debe construir un sistema de verificación. Será sobre un servicio de terceros fácilmente explotable. Varios observadores han destacado este punto. Hacen hincapié en la necesidad de un sistema de verificación sólido. Es para mantener la confianza y la seguridad de los usuarios.
Spoofing y PowerDMARC: protección contra los ataques
Los estafadores y piratas informáticos utilizan la suplantación de identidad para engañar a los usuarios. Hacen que un correo electrónico parezca provenir de una fuente real. Los correos electrónicos falsos pueden tener consecuencias devastadoras, como pérdidas económicas e información personal comprometida. Evitar los ataques de suplantación de identidad requiere medidas sólidas de autenticación del correo electrónico.
Una de estas soluciones es PowerDMARC. Se trata de un seguridad del del correo electrónico. Ofrece protección avanzada contra los ataques de suplantación de identidad.
PowerDMARC utiliza protocolos de autenticación de correo electrónico estándar del sector. Entre ellos se incluyen DMARC. Son las siglas de Domain-based Message Authentication, Reporting, and Conformance. También SPFque es Sender Policy Framework, y DKIMque significa DomainKeys Identified Mail. Estos protocolos funcionan juntos. Verifican la autenticidad del correo electrónico e impiden que remitentes no autorizados suplanten dominios reales.
La implantación de PowerDMARC puede reducir considerablemente el riesgo de suplantación de identidad. También protege a los usuarios de estafas y phishing.
PowerDMARC proporciona autenticación e informes de correo electrónico en tiempo real. Permite a las organizaciones supervisar su sistema de correo electrónico. Pueden detectar remitentes no autorizados y actuar con rapidez para reducir los riesgos.
Conclusiones: Priorizar la seguridad ante la evolución de las amenazas
La reciente advertencia de seguridad de Gmail se refería a una vulnerabilidad. Demuestra la importancia de permanecer alerta ante las amenazas cambiantes.
Google está solucionando la vulnerabilidad. Pero los usuarios deben ser precavidos y utilizar medidas de seguridad adicionales. Esto les protegerá de posibles estafas.
Con PowerDMARC, las organizaciones pueden mejorar la seguridad de su correo electrónico. Pueden garantizar un entorno digital más seguro para sus usuarios. Manténgase alerta, piense de forma crítica y dé prioridad a la seguridad en todas sus interacciones por correo electrónico.
- Cómo las herramientas de pentest automatizadas revolucionan el correo electrónico y la ciberseguridad - 3 de febrero de 2025
- Caso práctico de MSP: Hubelia simplificó la gestión de la seguridad del dominio del cliente con PowerDMARC - 31 de enero de 2025
- Las 6 mejores soluciones DMARC para MSP en 2025 - 30 de enero de 2025