Seguramente has escuchado o has sido testigo de los diversos casos de phishing que ocurren en todo el mundo. Estos ataques se producen cuando recibes correos electrónicos fraudulentos de remitentes que fingen ser bancos, grandes tiendas en línea o empresas de renombre con el objetivo de obtener tus datos personales para su uso.
Para darle guerra a esta práctica, Google ha buscado maneras de que los usuarios de Gmail comprueben la veracidad de los emails que reciben, por lo que ahora comenzará a implementar un check azul (el símbolo de verificación) a los remitentes.
Google eleva la seguridad sirviéndose del check azul
Esta nueva medida de seguridad fue anunciada por Google en su blog el pasado miércoles. Ahora los remitentes tendrán una marca azul junto a sus nombres, un símbolo que aparecerá automáticamente para aquellas empresas que han adoptado la función Indicadores de marca para identificación de mensajes (BIMI) de Gmail: cuando el usuario coloque el cursor sobre el check azul, aparecerá un mensaje: «El remitente de este correo electrónico ha verificado que pertenece a google.com y el logo de la imagen de perfil».
Gmail ya ha comenzado a implementar estas marcas de verificación, tanto en las cuentas de Workspace como en las cuentas personales de Google.
Esta no es la primera vez que Google toma cartas en el asunto para la prevención del phishing. En 2021 anunció el desarrollo de BIMI, la cual requiere la verificación del logotipo de la marca como avatar del remitente con el fin de ayudar a saber que el email es genuino y que, en efecto, proviene del remitente mostrado. Todo ello bajo el protocolo DMARC (autenticación de mensajes basada en dominios).
“La autenticación sólida de correo electrónico ayuda a los usuarios y a los sistemas de seguridad de correo electrónico a identificar y detener el spam, y también permite a los remitentes aprovechar la confianza de su marca. Esto aumenta la confianza en las fuentes de correo electrónico y brinda a los lectores una experiencia inmersiva, creando un mejor ecosistema de correo electrónico para todos”, dijo la compañía en su blog.
Cómo conseguir el check azul de Gmail
Tal y como explica Google, BIMI se activa en el proveedor de tu dominio, no en la consola de administración de Google, por lo que necesitarás los datos de acceso del proveedor de tu dominio. BIMI usa certificados de marca verificada (VMC) para verificar la propiedad del logotipo de la marca. Actualmente, el estándar BIMI exige que tu logotipo sea una marca registrada para obtener un VMC.
Después deberás configurar BIMI para tu dominio añadiendo un registro de texto DNS en la consola de gestión del proveedor de tu dominio. Los registros TXT son un tipo de registro DNS que contiene información sobre tu dominio para servidores y otras fuentes externas a tu dominio. Cuando lo tengas todo listo para empezar la configuración, podrás crear y subir el archivo del logotipo de tu marca siguiendo las directrices de Google.
Aquí tienes todos los pasos, resumidos por la propia Google.
Así funciona DMARC, la tecnología que Google utiliza para autenticar los logos verificados
DMARC aúna dos tecnologías: el SPF (Sender Policy Framework) y el DKIM (DomainKey’s Identified Mail) actuando en el hueco existente entre remitente y destinatario.
- El SPF impide la falsificación de la dirección de un remitente verificando que los correos proceden de un host autorizado por el administrador del dominio
- El DKIM demuestra que el correo no ha sido cambiado de camino al destinatario, y que fue originado por el remitente especificado.
El remitente o propietario del dominio deberá configurar los registros de SPF y la clave pública DKIM dentro de su DNS, además de especificar las direcciones de IP y qué firmas pueden ejecutar el envío legítimo de emails.
Con el SPF la dirección de IP del remitente, se compara con una lista de direcciones IP registradas para ese dominio. Con el DKIM, los emails son criptográficamente firmados a su salida con un código secreto que el ISP del destinatario valida comparándolo con una clave pública.
La DMARC garantiza la integridad de esta firma con estas dos tecnologías y permite al dueño del dominio decidir qué hacer con los mensajes que no han pasado la comprobación SPF y DKIM total o parcialmente. El dueño del dominio tendrá estas opciones:
- None: el email se entrega si ha superado el DMARC.
- Quarantine: el email se entrega en la carpeta de spam.
- Reject: el email no se entrega.