26 de diciembre de 2024

Empleo, Google, Gmail y la seguridad en entornos sociales

Empleo, Google, Gmail y la seguridad en entornos sociales

RRHH Digital Un usuario de Gmail, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema. Este fallo fue descubierto cuanto el matemático Zachary Harris recibió una oferta de trabajo de la propia Google. El problema de Gmail radicaba en la clave DKIM, utilizada para iniciar sesión en los dominios de correo electrónico.

Todo comenzó con un extraño email de un reclutador de Google enviado al matemático de 35 años, Zachary Harris. En dicho correo, le ofrecían un puesto como ingeniero en fiabilidad web. «Es obvio que tiene pasión por Linux y por la programación. Me gustaría saber si usted está abierto a explorar, confidencialmente, oportunidades en Google», decía el email.
La primera opción que barajó Harris fue que el email había sido falsificado, enviado por un estafador que quería hacerse pasar por un empleado del gigante de las búsquedas. Sin embargo, cuando el matemático examinó toda la información que había en el correo, se dio cuenta de que todo estaba en orden y parecía legítimo.

Harris se percató de que Google estaba usando una clave criptográfica débil para certificar a los destinatarios de que su correspondencia venía de un dominio legítimo de Google. Por lo tanto, cualquier persona que pueda desvelar esa clave, podría utilizarla para suplantar a un remitente.

El problema radicaba en la clave DKIM (DomainKeys Identified Mail) que Google utiliza para Gmail. DKIM incluye una clave criptográfica que se utiliza para iniciar sesión en los dominios de correo electrónico y sirve para confirmar a un destinatario que la información del encabezado en un e-mail es correcta. Cuando el correo electrónico llega a su destino, el receptor puede buscar la clave pública a través de los registros DNS del remitente y verificar la validez de la firma.
«El hecho de que yo entrara en esto sin saber lo que es una cabecera DKIM, demuestra que alguien con conocimientos técnicos suficientes puede resolverlo sobre la marcha», asegura Harris.

Por razones de seguridad, las llamadas estándar DKIM son de, al menos 1.024 bits de longitud. Sin embargo, Google estaba usando una clave de 512 bit que podría ser fácilmente corrompible. Teniendo en cuenta todo esto, Harris pensó que Google no podría ser tan «descuidado» por lo que el matemático, pese a no estar interesado en la oferta de trabajo, desencriptó la clave y envió un mensaje a los fundadores de Google, Sergey Bin y Larry Page.

Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él. Sin embargo, dos días después las claves encriptadas del correo de Google habían cambiado repentinamente a 2.048 bits. Además, Harris nunca recibió respuesta de los fundadores de Google.

Por ello, Harris se dio cuenta de que la vulnerabilidad que había encontrado era cierta. Además, comenzó a explorar otras webs y se percató de que muchas de ellas tenían el mismo problema con las claves DKIM: PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, Bank EE.UU., HP, Match.com y HSBC.

Según la revista Wired, una portavoz de Google ha afirmado que la compañía ha estado trabajando en esta vulnerabilidad y ya ha revocado las claves para todos sus dominios afectados y reeditado otros nuevos mayores de 1.024 bits.

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Los lectores opinan

¿Qué tendencia en RRHH crees que transformará más las organizaciones en 2025?

Ver los resultados

Cargando ... Cargando ...
Lo más leído

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital