Este ‘check azul’ de Gmail lo acepta como e-mail verificado por error

Desde hace dos años, Gmail invita a las empresas e instituciones a verificar su logotipo de marca para que aparezca a modo de avatar junto a los e-mails que recibimos. ¿El objetivo? Reducir la amenaza del phishing, basado en el envío de e-mails fraudulentos.

Hace un mes, Google llevó este método un paso más allá y se apuntó a la moda del check azul creada por Twitter: ahora, cada vez que pasamos el cursor sobre la insignia se nos muestra un mensaje de «el remitente de este correo electrónico ha sido verificado». Además, esta insignia sólo puede ser solicitada por marcas registradas cuyo dominio de envío de los e-mails implemente un estándar llamado BIMI. Parece todo bastante seguro, ¿verdad?

-Este tuit ha demostrado un agujero en el sistema de verificación de e-mails de Google

Bueno, sí, hasta que recibes un email, tu GMail lo muestra junto al logo de la empresa de mensajería UPS y el ‘check azul’ que evidencia que es un usuario verificado por Google… pero, al entrar en el e-mail te das cuenta de que algo va mal: ese correo no lo puede haber enviado UPS. Es un timo online.

Así que revisas la dirección de procedencia. Uhm… ‘rvrERrch5@kelerymjrlnra.ups.com’ no parece la típica dirección institucional de UPS, por mucho que incluya su dominio. Pero le ha servido para obtener el check azul que lo acredita como fiable a ojos de Google… y de muchos usuarios que caerán, confiados, en la trampa de los timadores.

Y por lo que cuenta el usuario al que le llegó este email y desveló la historia en Twitter, la compañía no parecía muy interesada en verificar lo adecuado de ese check (contestó a su ticket diciendo que no apreciaba ningún comportamiento imprevisto en la funcionalidad) … no hasta que su tuit de denuncia superó las 100.000 visualizaciones, al menos.

Ahora Google lo ha reconocido como una ‘brecha del sistema’ y está estudiando qué pudo fallar. Es posible que parte del problema de seguridad resida en UPS (al fin y al cabo, están usando uno de sus subdominios), pero el aviso del check azul reconoce explícitamente al remitente como propietario del subdominio malicioso, no del dominio originalmente verificado por Google a instancias de la verdadera UPS.

Está bien que Google esté detrás del problema (incluso si ha habido que darle una multitudinaria colleja en Twitter), pero está claro que el check azul de Google no es, por ahora, garantía total de nada, lo cual le quita bastante utilidad al asunto. No llega al nivel de Twitter, claro, pero…