Alerta por una nueva campaña de estafas realizadas desde Gmail debido a un error en el nuevo sistema de verificación del correo electrónico de Google donde ciberdelincuentes están usando el tick azul para suplantar empresas verdaderas y robarles dinero e información personal.

Fue hace cosa de un mes, que Google anunció la introducción de ticks azules de verificación, que al igual que con Twitter u otras redes sociales, sirve para identificar (en este caso) a empresas verdaderas y legítimas con el objetivo principal de así evitar suplantaciones, spam y engaños.

Pero, desgraciadamente no ha hecho falta más que un mes para que este plan se vaya al garete, ya que según descubrió este usuario y denunció desde Twitter, existe un error que permite a los ciberdelincuentes burlar los controles de Gmail y recibir la verificación a pesar de no ser la organización que dicen ser.

There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as "won't fix - intended behavior". How is a scammer impersonating @UPS in such a convincing way "intended". pic.twitter.com/soMq7KraHm — plum (@chrisplummer) June 1, 2023

El ejemplo puesto es de un correo falso que suplanta a la compañía de paquetería UPS, y mientras tiene el logo y el tick azul, nos podemos dar cuenta de que es falso debido a que la dirección de correo del remitente es sospechosa y aparentemente no tiene nada que ver con la compañía.

Tras identificar este error, el usuario notificó a la compañía de lo ocurrido, quienes en un principio no hicieron mucho caso y lo calificaron de "comportamiento previsto", aunque después de analizarla bien llegaron a la conclusión de que no se trataba de una vulnerabilidad genérica y que investigarían más a fondo este caso.

Lo normal cuando un usuario descubre un error, fallo o vulnerabilidad en el ecosistema de Google es que la compañía lo recompense de alguna manera, sin embargo, en este caso el usuario se tuvo que conformar con un "gracias".

Cómo evitar estafas en email

Lo primero siempre es comprobar la legitimidad del remitente, para ello fíjate en que el nombre no sea sospechoso y que tenga algo que ver con la empresa que dice representar. A su vez, si el email contiene archivos, enlaces o documentos es mejor que compruebes su autenticidad antes de hacer nada con él.

Otros aspectos a fijarse, aunque no siempre tienen porqué significar que un correo es legítimo, es que el email este mal escrito o tenga faltas ortográficas o también puedes comprobar que el enlace tenga seguridad HTTPS.

Por último, siempre es más que recomendable que actives la doble autentificación de acceso para realizar registros, de esta manera añades otra capa de seguridad para evitar que alguien entre en tu cuenta de Gmail.