Hace alrededor de un mes, Google empezaba a mostrar un check azul en determinados mensajes de Gmail. En concreto, el planteamiento inicial es que este símbolo que indica que se ha verificado la identidad del remitente sirva para distinguir más rápidamente si un mensaje es legítimo o si, por el contrario, nos encontramos ante un intento de ataque basado en la suplantación de identidad (phishing), una técnica que, según varios estudios, es el origen de la mayoría de los ataques basados en ingeniería social. Y es que, por sorprendente que pueda parecerle a algunos, el phishing sigue siendo bastante efectivo en determinados contextos.

El check azul de Gmail forma parte del plan de implementación de Brand Indicators for Message Identification (BIMI), un estándar de seguridad que exige de una autentificación fuerte, así como de la verificación del logotipo de la marca (pues, como su propio nombre indica, se dirige exclusivamente a marcas y empresas como remitentes de correos electrónicos), para que cuando un usuario reciba un correo de las mismas, se muestren tanto el logotipo como, y esto es lo más importante, el símbolo que confirma la verificación del remitente.

Sin embargo, hace solo unos días supimos que ya se había dado al menos un caso de un correo identificado por Gmail como legítimo, y que por lo tanto lucía el check azul, y que sin embargo era ostensiblemente falso. El problema fue detectado por el ingeniero de ciberseguridad Chris Plummer, que recibió dicho correo en su cuenta de Gmail, y que contactó con Google para informar sobre este problema. Como ya te contamos entonces, la primera respuesta de la compañía fue cerrar la incidencia afirmando que entraba dentro del comportamiento previsto de esta función, pero tras la presión de Plummer, el caso fue revisado de nuevo, obteniendo en este caso la máxima prioridad para su resolución.

Cuando leemos conceptos como «máxima prioridad», entendemos que la velocidad de respuesta debe ser bastante rápida, y en este caso podemos afirmar que así ha sido. Y es que, según podemos leer en Cyberscoop, Google mejorará la fiabilidad del check azul de Gmail esta misma semana. Además, según declaraciones de la tecnológica al medio citado, parte importante de la responsabilidad corresponde a terceras partes, concretamente a los servicios en los que se originan dichos mensajes.

En la implementación inicial de BIMI en Gmail, Google optó por los estándares de autenticación de correo electrónico DMARC y SPF o DKIM, confiando en que ambos proporcionarían la fiabilidad necesaria. Sin embargo, parece ser que esta lista se va a reducir exclusivamente a DKIM, como única opción para las marcas y empresas que quieran verificar su identidad en Gmail. Esto es lo que declaró Google a Cyberscoop:

“Este problema se deriva de una vulnerabilidad de seguridad de terceros que permite que los malos actores parezcan más confiables de lo que son. […] Para mantener a los usuarios seguros, exigimos a los remitentes que utilicen el estándar de autenticación DomainKeys Identified Mail (DKIM) más sólido para calificar para los indicadores de marca para el estado de identificación de mensajes”. Y en cuanto al plazo para este cambio, Google afirmó que se habrá completado a finales de esta misma semana.

Esto no significa, claro, que debamos tener confianza ciega en los mensajes con check azul que recibamos en nuestra cuenta de Gmail. Como siempre, debemos aplicar la cautela y el sentido común. Por mucho que un email tenga un check azul y, por lo tanto, parezca provenir de un remitente fiable, si hay cualquier razón, por nimia que sea, para que no nos encaje lo que se indica en el mismo (por ejemplo, que hay un problema con un paquete que no esperamos), desconfía y emplea los medios de contacto oficiales del supuesto remitente para confirmar la autenticidad del mensaje.