Hacerse pasar por otra persona o empresa es una de las formas más utilizadas hoy en día para realizar ataques maliciosos por correo electrónico. Un correo pidiendo restablecer la contraseña de determinado servicio es suficiente para que muchos caigan y cedan sus credenciales a terceros. Google (y otros proveedores de correo) tiene un plan para acabar con esto: verificar cuentas de empresas.
Según ha anunciado Google en su evento virtual Cloud Next '20: On Air, están preparándose para dar soporte a BIMI en Gmail. Mediante esto las marcas verificadas que envíen coreos tendrán un logotipo de la marca en el espacio del avatar en la esquina superior izquierda de los mensajes. Una forma visual de confirmarle al usuario que realmente está recibiendo un correo electrónico de dicha marca.
El sistema funciona un poco como las cuentas verificadas en redes sociales como Twitter. Solo que en este caso no hay un tick azul y los pasos para obtener dicha verificación son mucho más complejos y estrictos. Indica Google que el logo de las empresas aparecerá en el cliente web de Gmail y en las apps móviles oficiales. Algo similar buscan hacer también en los SMS.
Ejemplo de cómo se verá una marca verificada en Gmail. Vía Google.
Esperan poder implementarlo en los próximos meses, aunque no han dado una fecha exacta para ello. Con este sistema implementado (y si las grandes empresas verifican sus cuentas) las posibilidades de caer en un engaño por phishing se reducen drásticamente. Pocas cosas son más efectivas que una confirmación visual para saber que se está recibiendo un correo de una entidad verídica.
BIMI, el estándar para correos electrónicos detrás de esta nueva función
Aquí Google realmente no ha inventado la rueda. Lo que están haciendo es implementar BIMI, un sistema de identificación por imagen independiente en el que también participan otros proveedores. Actualmente y según podemos ver en la web oficial del servicio, otros proveedores como Fastmail, LinkedIn o Verizon (Aol y Yahoo!) también se han unido a esto.
Actuales proveedores de correo electrónico que soportan o soportarán BIMI. Vía BIMI.
Para poder verificar una cuenta de correo electrónico en BIMI hay que pasar una serie de pruebas que demuestren la autenticidad de quién lo está pidiendo. Indican que aprovechan la protección DMARC para ello, con esto se aseguran de que el dominio de la organización que pide ser verificada no ha sido suplantado.
Veremos si en los próximos meses se suman más proveedores de correo electrónico a esto y, sobre todo, empresas que verifiquen sus cuentas. Por parte del usuario realmente no hay nada que hacer, simplemente aparecerá un avatar en aquellos correos que provengan de un sujeto verificado. Pero, como siempre, la precaución es una de las mejores medidas de protección a tomar para evitar el phishing u otros ataques.
Ver 13 comentarios
13 comentarios
Sergio
Curioso que esté LinkedIn y Outlook no.
stfu
Buena idea. Quizás también deberían habilitarlo para personas, quiero saber nombre y apellidos del principe nigeriano
sologizmos
como facebook que aunque le mandes lo que te pide no te verifica la pagina por ejemplo, o de plano sus empleados son un imbeciles
l0ck0
pero si la gente caia con los correos del BBVA aunque no tuvieran cuenta del BBVA.
pero vamos que tardaran poco en buscar la forma de suplantar eso tambien y si solo va a servir para los que consultan el correo desde la web y no para los que usen programas de terceros como puede ser outlock o el propio de W10 tampoco es una solucion
Danny
Hasta que se les ocurrió hacer algo... No paro de reportar phishing en mi correo Outlook, y no para de llegarme de nuevas cuentas... Uno pensaría que COMO MÍNIMO sabrían filtrar correos de empresas grandes como Amazon o Paypal, pero realmente esos filtros que usan actualmente parecen más inútiles cada día.