La compañía de Internet ha corregido una vulnerabilidad grave en su servicio de correo electrónico Gmail. En concreto, del proceso de recuperación de la contraseña, uno de los procesos más típicos en los que suelen centrarse los ataques de los cibercriminales. Un investigador privado encontró el modo de crear un ataque de phishing capaz de engañar al usuario y robar la contraseña de la cuenta. El gran problema de este ataque estriba en que en uno de los pasos del engaño el usuario visita una página web con el cifrado HTTPS y que es legítima de Google.
El agujero en cuestión permitiría a un cibercriminal realizar un ataque dirigido contra un usuario, con solo contar con el correo electrónico de la víctima. Para llevar a cabo esta amenaza, el cibercriminal envía un correo electrónico directamente al usuario a través de una dirección que parezca legítima. En el mismo el atacante se presenta como si en realidad formara parte del servicio técnico de Gmail y le explica que lleva mucho tiempo utilizando la misma contraseña. Finalmente, le insta a confirmar que es el dueño de la cuenta de Google si pincha en un enlace incluido dentro del mensaje. El problema en este punto es que la página a la que dirige el enlace es realmente una web legítima de la compañía del buscador, que además usa el protocolo seguro HTTPS.
La página en cuestión se ha tomado (o “robado”) del proceso de recuperación de contraseña de Gmaily muestra un mensaje en el que se confirma que el usuario es legítimo y que cuenta con un botón para “resetear la contraseña”. Cuando la víctima pincha sobre el botón se le pregunta por la última contraseña conocida del usuario. Y esta información llega directamente al cibercrminal, que ahora puede entrar en el correo del usuario, cambiar la contraseña y pasar a controlar la cuenta. O simplemente espiar los correos de la víctima sin que éste se dé cuenta. Además del correo, el cibercriminal también podríaalcanzar otras cuentas de servicios que se han unido a la dirección de correo de Gmail para resetear la contraseña y tener acceso a ellas, tanto dentro de Google (por ejemplo cuentas de YouTubeque se hayan actualizado o el sistema de almacenamiento online Google Drive) como externos a la compañía.
La buena noticia sobre este agujero es que Google ha actuado muy rápido, ya que en menos de dos semanas ha lanzado un parche que corrige la vulnerabilidad y que impide que se pueda aprovechar esta página legítima con el protocolo HTTPS a a la hora de intentar ataques de phishing. El hacker que encontró la vulnerabilidad informó del agujero de forma privada a Google y solo ahora ha publicado la información sobre el ataque. Además, ha anunciado que recibirá una compensación económica de la compañía estadounidense, que desde hace tiempo ha desplegado un programa para premiar a aquellos informáticos que sean capaces de encontrar vulnerabilidades en sus diferentes productos.