Google ha establecido unos requisitos más estrictos para los remitentes de Gmail que envían correos masivos diariamente. Las nuevas medidas entrarán en vigor en 2024 y su principal objetivo es prevenir aún más el spam, el phishing y la suplantación de identidad a través del correo electrónico.
Los ciberdelincuentes están perfeccionando sus estrategias y ataques a unos niveles preocupantes, por lo que es necesario implantar controles de seguridad cada vez más fuertes. El phishing es una de las modalidades de propagación malware más antigua que existe, pero también sigue siendo una de las más rentables para los actores de amenazas.
Sus tácticas de ingeniería social continúan surtiendo efecto, ya que aprovechan el miedo, algo tan antiguo como la humanidad, para tratar de engañar a sus potenciales víctimas. Y esto lo consiguen sobre todo combinando la suplantación de identidad con una sensación de urgencia, que insta a los usuarios a no pensar demasiado a la hora de pinchar en un enlace malicioso y hacer lo que se les pide. Como consecuencia, los más incautos pueden acabar perdiendo sus credenciales y datos bancarios o convertirse en víctimas de ransomware, el más temido de los tipos de malware.
Por ello, Google ha anunciado que, a partir de febrero de 2024, endurecerá los requisitos para los grandes remitentes de Gmail, es decir, aquellos que envían más de 5.000 correos diarios. La gran G ya cuenta con otras medidas de seguridad en su servicio de correo electrónico, como detección de enlaces y archivos adjuntos maliciosos, avisos de inicios de sesión indeseados y cifrado de mensajes.
Mecanismos de autenticación de correos electrónicos
Según el gigante tecnológico: “Las defensas basadas en inteligencia artificial de Gmail impiden que más del 99,9 % del spam, el phishing y el malware lleguen a las bandejas de entrada y bloquean casi 15 mil millones de correos electrónicos no deseados cada día”. Sin embargo, nos enfrentamos a amenazas cada vez más sofisticadas, por lo que es necesario adoptar medidas adicionales.
En 2021, la compañía dio uno de los pasos más importantes para luchar contra la suplantación de identidad. Hablamos de BIMI (indicadores de marca para la identificación de mensajes), que permite que los mensajes de las empresas verificadas incluyan su logotipo corporativo como icono en la bandeja de entrada. De esta forma, los usuarios pueden estar seguros de la autenticidad de un correo electrónico.
BIMI está basado en DMARC (autenticación, informes y conformidad de mensajes basados en dominio), un sistema que conviene recordar para entender mejor las nuevas medidas implementadas por Google. Básicamente, como ya explicamos, dicho sistema le indica a los servidores de correo electrónico cómo actuar ante un mensaje ilegítimo que trata de suplantar la identidad de una compañía.
Para ello, se aplican dos métodos: el primero de ellos es SPF (marco de políticas del remitente), que permite que el titular de un dominio determine que servidores pueden enviar mensajes para evitar que los malos actores lo hagan en su nombre; y el segundo es DKIM (correo identificado con claves de dominio), cuya función es acreditar la autenticidad de los correos por medio de una firma digital.
Estos son los nuevos requisitos
Una vez dicho esto, toca hablar de los nuevos requisitos impuestos por los de Mountain View. Gracias a los mencionados mecanismos de autenticación, la compañía afirma que “la cantidad de correos no autenticados que reciben los usuarios de Gmail se desplomó en un 75%”. Sin embargo, lo que antes era una sugerencia pronto se convertirá en una obligación para los remitentes masivos.
Y es que, a partir de febrero de 2024 (fecha aplicable en los demás casos), aquellas empresas que envíen más de 5.000 correos diarios deberán optar al menos por alguno de los métodos antes señalados o preferiblemente ambos.
Por otro lado, los grandes remitentes también tendrán que permitir que los destinatarios puedan indicar fácilmente que no quieren recibir más sus mensajes. Para ello, exigirán que habiliten un enlace de cancelación de suscripción para que puedan darse de baja del correo electrónico comercial con tan sólo un clic y que, además, las solicitudes de cancelación se materialicen como máximo en un plazo de dos días.
Por último, Google anuncia que establecerá un umbral de tasa de spam claro que los remitentes no deben superar para evitar que los usuarios se vean abrumados por un gran volumen de correo no deseado. Sin embargo, la gran G ya especifica la cifra en una página más detallada con toda la información sobre los nuevos requisitos.
Más concretamente, la tasa de spam no podrá ser igual o superior al 0,30%, especialmente durante periodos prolongados; aunque recomiendan intentar mantener una tasa de spam inferior al 0,10%. Para poder comprobar dicha tasa, aconsejan utilizar Postmaster Tools.
Evidentemente, estos cambios de políticas no sólo resultarán beneficiosos para las potenciales víctimas de las amenazas, sino también para los propios grandes remitentes, ya que evitarán que sus mensajes acaben en la bandeja de spam de sus usuarios y, por ende, tendrán menos posibilidades de pasar desapercibidos o ser ignorados. Por no hablar de que también impedirán que los ciberdelincuentes suplanten su identidad, cometan fechorías en su nombre y hagan mella en su reputación.
