El phishing es una amenaza que, a pesar de sus años afectando a los usuarios, no ha perdido su efectividad, y a logrado mantenerse como uno de los principales vectores de ataque para obtener información sensible de los usuarios.
Por estos días, el servicio de webmail de Google, Gmail, ha dado una grata noticia para quienes nos desempeñamos en el mundo de la seguridad. Y más aún para aquellos que, como el Laboratorio de ESET Latinoamérica, hemos venido anunciando, alertando y educando respecto a los peligros del phishing y las formas de protección.
Desde hace dos días, los usuarios de Gmail cuentan con una funcionalidad (aún en prueba) que permite brindar una capa de protección adicional respecto al phishing, específicamente a aquel que utiliza el correo electrónico como medio de propagación.
Para ello, han incorporado la funcionalidad de autenticación de remitentes verificados. ¿Cómo funciona? Muy sencillo: para ciertas entidades que son frecuentemente utilizadas como falsos remitentes en correos electrónicos no deseados, Gmail recibe de estas un listado de las direcciones de correo válidas que son utilizadas legítimamente como remitentes de la organización, y que envían correos benignos. De esta forma, si llega un correo con remitente de PayPal, solo aparecerá el candado, si la dirección de correo coincide con el listado ofrecido por la empresa como válidas.
Cabe destacar que por el momento, siendo el lanzamiento de esta nueva funcionalidad, solo está disponible para PayPal y eBay. De todas formas, personal de Google afirmó que espera "agregar más remitentes".
Aquellos que quieran utilizar dicha funcionalidad, deberán dirigirse a la sección de configuración del servicio, en la pestaña de Gmail Labs, y habilitar el mismo:
De todas formas, cabe mencionar que esta funcionalidad solo ofrecerá una capa de protección a aquellos usuarios que habiliten la funcionalidad, y tengan la educación suficiente para analizar el correo y verificar si existe o no la llave de seguridad. Es por ello que la educación sigue siendo un pilar básico en materia de protección de amenazas informáticas.
Es decir, aunque no es "la solución" respecto a la problemática del phishing, sí es un avance para ofrecer mayor protección a los usuarios, reforzar el peligro que representa el phishing, y confirmar la relevancia de tomar medidas de este tipo para frenar a los atacantes: el trabajo en equipo entre las organizaciones. De esta forma, siempre podremos avanzar en la protección del usuario, el interés primario en esta materia.
Además, recuerden que también tenemos a su disposición un video educativo sobre phishing y las instrucciones para denunciar casos de phishing.
Sebastián
