Google introduce BIMI y PasswordLess para evitar ataques de suplantación de identidad

Los verificados llegaron para quedarse. Si bien esta característica ha estado disponible desde hace un tiempo en varias redes sociales, el fiasco de Twitter Blue la puso en boca de todos. Ahora es Gmail quien se sube al carro y anunció que desplegará una insignia azul en cuentas seleccionadas.

A diferencia de Twitter, GMail no cobrará por añadir el check azul en los nombres de usuario. La tecnológica anunció que las insignias de verificado aparecerán en las cuentas que utilicen BIMI, un estándar que valida la autenticidad de los mensajes para evitar ataques de suplantación de identidad.

El BIMI (Indicadores de Marca para Identificar Mensajes), es una especificación que permite añadir un logotipo de marca a los mensajes autenticados provenientes del dominio del remitente. Para ello, la empresa debe activar la protección DMARC y verificar su imagen, que posteriormente se desplegará como avatar junto al nombre de usuario. Gmail tiene un listado con los pasos detallados que debes de seguir si quieres contar con esta funcionalidad.

Aunque la insignia azul de GMail es nueva, el programa BIMI para verificar la autenticidad de las cuentas comenzó sus primeras pruebas en 2020. Un año más tarde se abrió a todas las cuentas de Google Workspace y G-Suite. La actualización de hoy es un paso adicional que busca evitar que los usuarios sean víctimas de ataques de Spoofing.

"Sobre la base de esa característica, los usuarios ahora verán un icono de marca de verificación para los remitentes que han adoptado BIMI. Esto ayudará a los usuarios a identificar mensajes de remitentes legítimos frente a suplantadores".

Los verificados de GMail estarán disponibles a partir de esta semana para todas las cuentas de Google Workspace y G-Suite. Lamentablemente, los usuarios con cuentas personales no podrán acceder a la insignia azul, solo visualizarla en su bandeja de entrada.

Hasta hace poco, las insignias azules de verificación en servicios como Twitter o Instagram estaban destinadas a personalidades o empresas. Esto cambió con la llegada de Elon Musk como dueño de Twitter, quien cambió las reglas del juego con el lanzamiento de Twitter Blue. La fiebre de los verificados generó que otras empresas se subieran al tren, aunque con Gmail las cosas son distintas.

La verificación en el correo electrónico tiene dos ejes de acción: evitar ataques de suplantación de identidad y asegurar que el mensaje no llegará a la bandeja de spam. Para que un remitente obtenga su insignia azul en GMail deberá pasar las verificaciones de autenticación DMARC. Estas garantizan que no existe suplantación de dominio, previniendo los correos de phishing y spoofing.

La autenticación sólida de correo electrónico ayuda a los usuarios y a los sistemas de seguridad de correo electrónico a identificar y detener el spam, y también permite a los remitentes aprovechar la confianza de su marca. Esto aumenta la confianza en las fuentes de correo electrónico y brinda a los lectores una experiencia inmersiva, creando un mejor ecosistema de correo electrónico para todos.

Contrario a Twitter, la verificación de Gmail no servirá para alimentar el ego del remitente, sino para confirmar que es legítimo. La próxima vez que recibas un correo con la insignia azul estarás seguro de que se trata de Amazon y no de un scammer de la India que quiere robar tu clave de Prime Video.

Google admite Password Less y claves de acceso

La implementación de Google permitirá a los usuarios usar la autenticación biométrica para acceder a sus cuentas sin requerir primero un nombre de usuario y contraseña, o una forma de autenticación de múltiples factores.

Las claves de acceso (passkeys) son claves criptográficas privadas basadas en la especificación FIDO2 de FIDO Alliance, que implementa el estándar Webauthn del World Wide Web Consortium (W3C). El lanzamiento de Google se produce un año después de que se comprometiera a implementar la especificación sin contraseña de FIDO Alliance.

La compatibilidad con claves de acceso para Android y el navegador Chrome permitió a los usuarios autenticarse en sitios web que admitían claves de acceso, como Best Buy, CVS Health, Kayak, Shopify, Paypal y Yahoo! Japón. Pero no fue hasta esta última actualización que los usuarios pudieron usar claves de acceso con los propios servicios en línea de Google, incluido GMail.

Las claves de acceso están diseñadas para eventualmente reemplazar las contraseñas, ya que se consideran un método de autenticación más seguro. El método permite a los usuarios iniciar sesión en aplicaciones y sitios utilizando la misma autenticación para desbloquear dispositivos con un escaneo facial, huella digital o PIN. Teniendo en cuenta que el cambio a la autenticación sin contraseña llevará tiempo, las contraseñas y 2FA seguirán funcionando en las cuentas de Google, por ahora. Los administradores de las cuentas de Google Workspace tendrán la opción de habilitar las claves de acceso para los usuarios finales al iniciar sesión en un futuro próximo.

Google anunció el lanzamiento planificado de claves de paso el año pasado, como una colaboración con FIDO Alliance, Apple y Microsoft. El proyecto de clave de acceso se centró en agregar el método de autenticación a Chrome y Android y sus servicios como Docusign, Kayak, PayPal, Shopify y Yahoo! Japón.

"Queremos que el mundo pase de las contraseñas a las claves de paso", dijo Christian Brand, gerente de productos de identidad y seguridad de Google, durante una sesión en la Conferencia RSA de la semana pasada en San Francisco. "Estamos literalmente en el punto en el que puede comenzar a ocurrir una transición masiva de contraseñas a passkeys".

Apple estuvo entre los primeros de los tres grandes (Apple, Google, Microsoft) en implementar el soporte de claves de acceso en sus productos cuando agregó la capacidad a iOS 16 para iPhone y iPad. La compatibilidad con la autenticación de contraseña en macOS Ventura y el navegador Safari de Apple llegó unos meses después. Sin embargo, Apple aún no admite este tipo de autenticación en su tienda de aplicaciones u otros servicios en línea con passkeys.

Microsoft prometió la sincronización de la clave de acceso con Windows este año, aunque los funcionarios de la compañía no han dicho cuándo o en qué forma llegará. Por el momento, Apple es el único proveedor de plataforma que permite la sincronización de claves de acceso en sus diferentes entornos de clientes: dispositivos iOS, macOS y Safari a través de iCloud Keychain.

Adopción lenta pero constante

Los expertos dicen que pasarán años antes de que las claves de acceso se conviertan en una forma de autenticación convencional que reemplace a las contraseñas y MFA. Andrew Shikiar, director ejecutivo de FIDO Alliance, dijo que está satisfecho con el progreso durante el año pasado.

"Estamos viendo una buena adopción temprana", dijo Shikiar, hablando durante el evento de ruptura "The State of Authentication 2023: The Global Progress Past Passwords" la semana pasada en San Francisco. "El hecho es que las contraseñas son una forma obsoleta de autenticar a los usuarios que genera todo tipo de problemas".

Entre esos problemas, dijo, estaban el fraude, la suplantación de identidad y la usurpación de cuentas, y también conduce al costo de oportunidad, [como] el abandono del carrito de compras. Según una encuesta realizada por FIDO Alliance, el 60% de los consumidores abandonaron los carritos de compras porque olvidaron sus contraseñas.

La Alianza FIDO publicó los resultados de su última encuesta en un informe publicado el jueves 4 de mayo, que mostró que los usuarios finales están más abiertos a usar claves de paso que el otoño pasado. Según el informe, al 57% de los consumidores de EE.UU. le gustaría usar claves de acceso para reemplazar las contraseñas, en comparación con el 39% de octubre pasado.

La encuesta también mostró que alrededor del 65% de quienes prefieren la biometría para autenticarse preferirían usar claves de paso. Entre los que aún prefieren las contraseñas, el 45% expresó interés en usar una clave de paso. "Esta es otra señal clara que nos dice que los consumidores quieren menos fricción y una mayor facilidad para iniciar sesión en sus cuentas en línea", señaló Shikiar en una publicación de blog.

En principio, la integración ubicua de claves de acceso descartaría la necesidad de administradores de contraseñas y proveedores de inicio de sesión único. Pero empresas como 1Password, Dashlane y Okta son miembros activos de la junta y contribuyentes de FIDO Alliance.

1Password dijo que planea lanzar una versión beta de su administrador de contraseñas con una extensión que admite claves de acceso el próximo mes. Jeff Shiner, CEO de 1Password, cree que el último movimiento de Google impulsará el uso de claves de paso. "Hemos estado esperando que uno de los grandes jugadores como Google o YouTube viniera y fuera el punto de inflexión", dice Shiner a Dark Reading. Dashlane ya ofrece una extensión de contraseña para su administrador de contraseñas.

Okta anunció el otoño pasado que lanzaría claves de acceso a fines del segundo trimestre para su nueva marca Customer Identity Cloud para aplicaciones de consumo. "Somos muy optimistas al respecto".

Fuente: Hipertextual | Dark Reading

Suscríbete a nuestro Boletín