Gmail es, a día de hoy, el servicio de correo electrónico más utilizado en todo el mundo. A diario se envían millones de correos en todo el mundo, tanto correos personales como profesionales e incluso desde las redes de SPAM con fines maliciosos. A pesar de que Google ha invertido tiempo, dinero y esfuerzos en hacer que toda su plataforma, especialmente su servicio de correo, sea lo más seguro posible para evitar problemas en las comunicaciones, siempre aparecen nuevos fallos que pueden poner en peligro la integridad y el funcionamiento de la plataforma, como el nuevo fallo que han descubierto y que puede dejar sin servicio a cualquiera de los usuarios de Gmail.
Hace algunas horas, la empresa de seguridad We Are Segmented daba a conocer una nueva vulnerabilidad en los servidores de Gmail, un fallo de seguridad bastante preocupante para Google.
Tal como ha podido demostrar esta empresa de seguridad, el fallo en los servidores puede permitir a un atacante enviar un correo especialmente diseñado con un texto “Zalgo” que, al recibirlo la víctima, podría dejarle sin acceso al correo electrónico. Un texto Zalgo es un tipo de texto formado por caracteres (letras, números, símbolos, etc) Unicode que se extiende hacia arriba, abajo, derecha e izquierda mezclándose con el texto original.
El investigador de seguridad que descubrió este fallo empezó probando los efectos de este tipo de texto, formado por más de 1 millón de caracteres, al inyectarlo en cualquier página web desde el navegador. Al hacerlo, pudo ver cómo el navegador se bloqueaba por completo y quedaba totalmente inutilizado.
Buscando ir más allá, este experto de seguridad intentó enviar este tipo de texto a través de Gmail para ver si el navegador desde el que se abría el texto se bloqueaba, sin embargo, tras mandar el correo se encontró con la imposibilidad de iniciar sesión en Gmail, mostrando la web un Error 500, error interno del servidor.
Un error descubierto en Gmail por hackers éticos que podía haber tenido consecuencias desastrosas
Por suerte, We Are Segmented está formado por investigadores de seguridad, hackers éticos, y tras ver el impacto de este problema en los servidores, contactaron con Google, quien tras varios días aceptó el problema y confirmó que ya estaba trabajando en lanzar una actualización que evite que esto vuelva a ocurrir.
No se sabe si este fallo de seguridad ha sido explotado por piratas informáticos o no, pero lo que es seguro es que si alguien con malas intenciones antes que esta empresa de seguridad lo ha descubierto ha podido dejar sin servicio a empresas. Imaginemos que los piratas informáticos mandan este correo malicioso a la dirección de compras o ventas de una empresa, estos podrían haber estado días incomunicados, con una cantidad de pérdidas bastante grandes.
Si ahora intentamos mandar uno de estos correos, probablemente los servidores ya no se bloqueen. Eso sí, la empresa de seguridad no ha hecho público si Google les ha recomendado por detectar este fallo gracias al programa Bug Bounty o no lo ha hecho.
Fuente:https://www.redeszone.net/2018/01/11/fallo-gmail-sin-servicio/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad