Seguro que has oído hablar de alguno de los múltiples casos de phishing alrededor del mundo: en tu bandeja de entrada aparecen correos electrónicos de remitentes que se hacen pasar por bancos, grandes eCommerce o empresas de logística internacionales que quieren consultar tus datos personales con miles de excusas o incluso amenazando que de lo contrario tus cuentas o envíos se cancelarán. Este tipo de ataques no solo perjudican al destinatario sino que dañan también la reputación de las marcas suplantadas, y por ello Google ha decidido implementar logos verificados en GMail para garantizar la identidad del remitente.
Llegan los logos verificados a GMail
Esta nueva función de seguridad en GMail se centra en mostrar el logotipo de una marca como avatar del remitente con el fin de ayudarte a saber que el email es genuino y proviene del remitente mostrado. Si estás pensado que los cibercriminales solo tendrían que copiar la imagen e integrarla en sus envíos… no será tan fácil: para garantizar la identidad del remitente Google utilizará el protocolo DMARC.
El Brand Indicator for Message Identification o «indicador de marca para la identificación de mensajes» (BIMI por sus siglas en inglés) será el nombre del nuevo estándar con el que las organizaciones podrán mostrar un logotipo corporativo como avatar en GMail y requerirá que estas empresas participantes autentiquen sus emails utilizando el protocolo DMARC (autenticación de mensajes basada en dominios). No solo Google está detrás del desarrollo de BIMI. Otras grandes corporaciones como Verizon o LinkedIn han contribuido a su desarrollo.
Así funciona DMARC, la tecnología que utilizará Google para autenticar los logos verificados
DMARC aúna dos tecnologías: el SPF (Sender Policy Framework) y el DKIM (DomainKey’s Identified Mail) actuando en el hueco existente entre remitente y destinatario.
- El SPF impide la falsificación de la dirección de un remitente verificando que los correos proceden de un host autorizado por el administrador del dominio
- El DKIM demuestra que el correo no ha sido cambiado de camino al destinatario, y que fue originado por el remitente especificado.
El remitente o propietario del dominio deberá configurar los registros de SPF y la clave pública DKIM dentro de su DNS, además de especificar las direcciones de IP y qué firmas pueden ejecutar el envío legítimo de emails.
Con el SPF la dirección de IP del remitente, se compara con una lista de direcciones IP registradas para ese dominio. Con el DKIM, los emails son criptográficamente firmados a su salida con un código secreto que el ISP del destinatario valida comparándolo con una clave pública.
La DMARC garantiza la integridad de esta firma con estas dos tecnologías y permite al dueño del dominio decidir qué hacer con los mensajes que no han pasado la comprobación SPF y DKIM total o parcialmente. El dueño del dominio tendrá estas opciones:
- None: el email se entrega si ha superado el DMARC
- Quarantine: el email se entrega en la carpeta de spam
- Reject: el email no se entrega
Podríamos decir que BIMI funcionará de forma similar a las insignias verificadas que utilizan las redes sociales para las cuentas oficiales de marcas y celebridades.
Por ahora el BIMI de Google estará en su fase de pruebas con un número limitado de remitentes durante las próximas semanas, sin embargo, el gigante de internet espera que esté disponible de forma generalizada durante los próximos meses para más marcas y empresas.
Más seguridad en Google Meet y G Suite
Además de su prueba de logos verificados, Google también anunció otras medidas de seguridad para sus funciones de videoconferencias, chats y software empresarial.
- Google Meet tendrá nuevos controles para asegurar las reuniones: los usuarios no invitados no tendrán permitido volver a unirse a la reunión tras ser expulsados. Meet también bloqueará de forma automática a los asistentes para que no envíen solicitud para unirse si se les ha negado el permiso varias veces.
- Para asegurar más las videollamadas, los anfitriones en Meet tendrán herramientas de “bloqueos de seguridad avanzados” que permiten decidir cómo otros usuarios pueden unirse a una reunión, por ejemplo a través de una invitación en calendario o por un número telefónico. Los usuarios requerirán tener una aprobación explícita para unirse a las reuniones.
- Los enlaces enviados a través del chat se marcarán de forma especial si Google cree que son maliciosos, y también planea introducir nuevas herramientas de informes para las salas de chat.
- Por otro lado, los administradores de G Suite tendrán nuevos controles y servicios entre los que incluyen herramientas para bloquear el acceso de ciertas aplicaciones a los datos de G Suite, administrar dispositivos iOS de la compañía así como nuevas herramientas para evitar la pérdida de datos.
Imagen: Depositphotos