Hacerse pasar por otra persona o empresa es una de las formas más utilizadas hoy en día para realizar ataques maliciosos por correo electrónico. Un correo pidiendo restablecer la contraseña de determinado servicio es suficiente para que muchos caigan y cedan sus credenciales a terceros. Google (y otros proveedores de correo) tiene un plan para acabar con esto: verificar cuentas de empresas.
Según ha anunciado Google en su evento virtual Cloud Next '20: On Air, están preparándose para dar soporte a BIMI en Gmail. Mediante esto las marcas verificadas que envíen coreos tendrán un logotipo de la marca en el espacio del avatar en la esquina superior izquierda de los mensajes. Una forma visual de confirmarle al usuario que realmente está recibiendo un correo electrónico de dicha marca.
El sistema funciona un poco como las cuentas verificadas en redes sociales como Twitter. Solo que en este caso no hay un tick azul y los pasos para obtener dicha verificación son mucho más complejos y estrictos. Indica Google que el logo de las empresas aparecerá en el cliente web de Gmail y en las apps móviles oficiales. Algo similar buscan hacer también en los SMS.
Esperan poder implementarlo en los próximos meses, aunque no han dado una fecha exacta para ello. Con este sistema implementado (y si las grandes empresas verifican sus cuentas) las posibilidades de caer en un engaño por phishing se reducen drásticamente. Pocas cosas son más efectivas que una confirmación visual para saber que se está recibiendo un correo de una entidad verídica.
BIMI, el estándar para correos electrónicos detrás de esta nueva función
Aquí Google realmente no ha inventado la rueda. Lo que están haciendo es implementar BIMI, un sistema de identificación por imagen independiente en el que también participan otros proveedores. Actualmente y según podemos ver en la web oficial del servicio, otros proveedores como Fastmail, LinkedIn o Verizon (Aol y Yahoo!) también se han unido a esto.
Para poder verificar una cuenta de correo electrónico en BIMI hay que pasar una serie de pruebas que demuestren la autenticidad de quién lo está pidiendo. Indican que aprovechan la protección DMARC para ello, con esto se aseguran de que el dominio de la organización que pide ser verificada no ha sido suplantado.
Veremos si en los próximos meses se suman más proveedores de correo electrónico a esto y, sobre todo, empresas que verifiquen sus cuentas. Por parte del usuario realmente no hay nada que hacer, simplemente aparecerá un avatar en aquellos correos que provengan de un sujeto verificado. Pero, como siempre, la precaución es una de las mejores medidas de protección a tomar para evitar el phishing u otros ataques.
Ver todos los comentarios en https://www.xataka.com
VER 13 Comentarios