Jueves 25/10/2012 por I.Caamaño
Gmail: vulnerabilidad descubierta a través de una oferta de trabajo. La historia tiene mucha tela y resulta tan interesante que no podemos dejar pasar la oportunidad de ocntárosla. Hemos visto todo tipo de tretas y fraudes a través de redes sociales, correos falsos y aplicaciones peligrosas. Sabemos que la búsqueda de empleo es hoy más que nunca un gancho. Pero lo que aún no esperábamos y que ha conseguido sorprendernos es que una sola oferta de empleo haya destapado una grave vulnerabilidad en uno de los servicios de correo de referencia, Gmail. Todo empezó cuando Zachary Harris, matemático de 35 años, recibió una oferta de trabajo de Google.
Es el sueño para muchos, pero para Harrys resultó ser la miga de pan de algo mucho mayor. El matemático se encontró con un correo supuestamente enviado desde Google en el que se le invitaba a formar parte del equipo de trabajo de la compañía como ingeniero en fiabilidad web.
Evidentemente la primera reacción de Harris ya os la podéis imaginar. Dio por hecho que se trataba de algún tipo de broma o un fraude muy bien orquestado. Pero sus primeras pesquisas no confirmaron esta teoría, sino que reforzaron los motivos para pensar que se trataba de una oferta real.
Y fue aquí donde comenzó la investigación del matemático, que no tardó en comprender que la sencillez de la clave criptográfica utilizada por Google para certificar a los destinatarios bien podía ser superada y así suplantar a la compañía. Es lo que conocemos como la clave DKIM (DomainKeys Identified Mail), el mecanismo gracias al cual se confirma que la información del remitente de un e-mail es correcta.
Aunque Harrys no estaba especialmente familiarizado con el tema, sí se percató de que Google no estaba utilizando una DKIM especialmente segura y decidió poner sobre aviso a la firma. Aunque no recibió respuesta, sí tuvo constancia de que se habían efectuado cambios. De hecho, lo que sí ha hecho Google es confirmar a Wired que han tomado medidas para solucionar el error.
¿Cómo os habéis quedado? La verdad es que la historia no podría ser más sorprendente y eso que a estas alturas ya deberíamos estar acostumbrados; no en vano ya hemos hablado del malware que se distribuía en Facebook a través de un falso email de la red social, de las más de 55.000 cuentas hackeadas en Twitter, del robo de contraseñas de LinkedIn o del reciente fallo de seguridad en Internet Explorer. ¿Creéis que hay un exceso de confianza por parte de los usuarios? ¿O pensáis que más bien se trata del desconocimiento de las herramientas de protección?