Hace unos días desde el blog oficial de Gmail, se realizó una publicación interesante desde el punto de vista de la seguridad para los usuarios de este cliente de correo. Gmail ofrece dos características de configuración que son el reenvío automático de mensajes y la delegación de acceso. Para el primer caso, el usuario puede configurar su cuenta de correo electrónico para que envíe automáticamente mensajes recibidos a otras direcciones de correo. Por otro lado, con la segunda característica, se garantiza el acceso de otras personas a su cuenta pudiendo enviar y recibir correos en su representación.


Estas características, pueden ser utilizadas con fines maliciosos si el usuario no advierte de su existencia o no realiza una correcta administración de la misma. Cualquier atacante que tenga acceso a su cuenta, podría configurar un filtro para que todo el correo entrante de la víctima sea reenviado a otra cuenta. De esta forma, por más que el usuario advierta de la intrusión en su cuenta de correo electrónico y cambie su contraseña; no impedirá al atacante de seguir recibiendo los correos electrónicos de la víctima hasta que la configuración del reenvío automático sea nuevamente restablecida.

El problema de este paradigma es que muchos usuarios no son conscientes de la existencia de esta característica. Por lo tanto, en el caso de que sufran un ataque, el delincuente pasará a tener acceso irrestricto a su información personal, pudiendo contener extractos bancarios, cambios de contraseñas en las redes sociales, confirmaciones de suscripciones, etc. Con toda esa información es muy fácil poder rastrear los pasos de la víctima en Internet y obtener beneficios de toda índole, que pueden estar orientados al robo de información o directamente al acceso de credenciales bancarias, así como también sitios de pago en línea como PayPal.

Gracias a esta modificación el usuario ahora podrá ser notificado cada vez que se esté haciendo uso de estas características. Suele ser importante tanto para los usuarios que tengan el reenvío automático activado hace tiempo y no lo recuerdan, como también, para aquellos que ya no tienen un vínculo con la persona a la cual le delegaron el acceso a sus mensajes.

Esperemos que los usuarios tomen conciencia de esta problemática y pasen a controlar más de cerca las funcionalidades que los clientes de correo electrónico ofrecen. Para eso, les recomendamos estar en contacto con nuestro blog en donde se publican continuamente novedades en el mundo de la seguridad informática.

Raphael Labaca Castro
Awareness & Research Specialist