El servicio de correo electrónico de Google es realmente popular en estos días, con cada vez más usuarios entre sus filas, ya sean con simples cuentas hogareñas o correos destinados para actividad comercial. Sin embargo, parece que Gmail tiene actualmente una falla bastante seria. Según un ingeniero español, Gmail posee una vulnerabilidad que permitiría a un atacante cambiar la contraseña de un usuario sin que este lo sepa. Lo más preocupante de todo fue la respuesta de Google: No harán nada al respecto.
El ingeniero, de nombre Vicente Aguilera, tomó la decisión de hacer pública esta vulnerabilidad debido a la falta de respuestas por parte de Google. Por más que el gigante de Mountain View considere a las pruebas de Aguilera "insuficientes" como para tomar una acción, el caso debería ser estudiado más de cerca como mínimo, ya que estamos hablando de un agujero de seguridad bastante grave. El primer reporte de Aguilera sobre la vulnerabilidad fue hecho el primero de agosto del año 2007, pero debió esperar más de cinco meses por una respuesta que, al final, no fue otra cosa más que "no vamos a hacer ningún cambio".
La vulnerabilidad es conocida como "Cross-Site Request Forgery" o CSRF, también apodada "ataque de un solo clic", y consiste en que un atacante puede transmitir comandos no autorizados a una página la cual confía en un usuario determinado. El problema de Gmail está enfocado específicamente en la función de "Cambiar Contraseña". Claro que para que la vulnerabilidad funcione, esto requiere un poco de ingeniería social. El usuario debería visitar una página generada por el atacante desde el interior de una cuenta de Gmail autenticada (o sea, recibir el enlace a la página por correo), y la simple visita a esa página permite al atacante cambiar la contraseña de ese usuario (que está actualmente autenticado y en que cual Gmail "confía"), sin que se de cuenta de ello.
Probablemente Google no le haya prestado atención a este agujero de seguridad, debido al grado de ingeniería social que requiere, pero lo cierto es que el gigante de Mountain View debería pensar que siempre hay un despistado que hace clic en un enlace que no debe dentro de un correo electrónico. ¿Qué puede hacer el usuario final al respecto? Nada que ya no conozca. Cerrar siempre las sesiones y evitar el guardado automático de contraseñas tanto en el navegador como en la página de acceso de Gmail son pasos clásicos, mientras que evitar la carga de imágenes externas dentro de un correo también es útil. De más está decirlo, se debe evitar el spam a toda costa. Con un poco más de difusión y de atención en los medios, es probable que Google haga algo al respecto, pero hasta que eso suceda, habrá que pisar con cuidado.