Hace unos días te contamos que Gmail estaba incorporando a su plataforma la insignia de verificación que se ha hecho popular en redes sociales como Twitter. El propósito de esta insignia es corroborar que una cuenta realmente pertenece a la empresa o persona quien dice ser. Normalmente, solo se les otorga a empresas o personas famosas que corren el riesgo de que su identidad sea suplantada para estafar en su nombre.
Sin embargo, los ciberdelincuentes ya han encontrado la forma de conseguir la insignia de verificación de Gmail y hacerse pasar por empresas. Cabe aclarar que esta insignia no se obtiene pagándola, como sucede con Twitter Blue. Para que Google te dé la insignia de verificación en Gmail, en teoría, debes cumplir con una serie de requisitos y comprobar tu identidad. Sin embargo, el sistema de Indicadores de marca para la identificación de mensajes (BIMI) de Google tiene un bug que permite saltarse este proceso.
Aunque tenga la marca de verificación, no te fíes: así los ciberdelincuentes burlan la seguridad de Gmail
Chris Plummer, un ingeniero en ciberseguridad, compartió en su cuenta oficial de Twitter una captura donde se puede ver un correo electrónico falso de UPS (la empresa de los Estados Unidos dedicada al transporte y entrega de paquetes) que no solo tiene el logotipo oficial del servicio, sino que además tiene la insignia de verificación, por lo que cualquiera podría pensar que es de verdad UPS.
En definitiva, la insignia de verificación de Gmail en lugar de proteger a los usuarios de correos electrónicos de phishing, se está utilizando para engañarlos y que confíen en mensajes falsos. Plummer reportó este fallo a Google y sorpresivamente la gran G desestimó su informe de error calificándolo de «comportamiento intencionado», lo que no tiene ningún sentido.
Por suerte, Plummer no se quedó de brazos cruzados y decidió compartir sus hallazgos en Twitter, donde recibió mucho apoyo y atención. Los usuarios de las redes sociales se indignaron por la negligencia de Google y exigieron una solución. Finalmente, Google se dio cuenta de su error y reabrió el informe. Pidió disculpas a Chris Plummer y dijo que estaba estudiando el problema. También marcó el error como de máxima prioridad, lo que significa que está trabajando duro para solucionarlo.
Esperamos que Google solucione pronto este problema y nos devuelva la confianza en la seguridad de Gmail. Se trata de una función muy importante que no debería ser explotada por estafadores.