Desde hace dos años, Gmail invita a las empresas e instituciones a verificar su logotipo de marca para que aparezca a modo de avatar junto a los e-mails que recibimos. ¿El objetivo? Reducir la amenaza del phishing, basado en el envío de e-mails fraudulentos.

Hace un mes, Google llevó este método un paso más allá y se apuntó a la moda del check azul creada por Twitter: ahora, cada vez que pasamos el cursor sobre la insignia se nos muestra un mensaje de "el remitente de este correo electrónico ha sido verificado".

Además, esta insignia sólo puede ser solicitada por marcas registradas cuyo dominio de envío de los e-mails implemente un estándar llamado BIMI. Parece todo bastante seguro, ¿verdad?

Este tuit ha demostrado un agujero en el sistema de verificación de e-mails de Google

Bueno, sí, hasta que recibes un email, tu GMail lo muestra junto al logo de la empresa de mensajería UPS y el 'check azul' que evidencia que es un usuario verificado por Google… pero, al entrar en el e-mail te das cuenta de que algo va mal: ese correo no lo puede haber enviado UPS. Es un timo online.

Así que revisas la dirección de procedencia. Uhm… '[email protected]' no parece la típica dirección institucional de UPS, por mucho que incluya su dominio. Pero le ha servido para obtener el check azul que lo acredita como fiable a ojos de Google… y de muchos usuarios que caerán, confiados, en la trampa de los timadores.

…