Al registrarse en Gmail, ahora se escanea un código QR y se envía un mensaje de texto

 (discuss.privacyguides.net)
3 puntos por GN⁺ 2 시간 전 | 1 comentarios | Compartir por WhatsApp
  • El método de registro de cuentas de Google cambió: en lugar de la verificación tradicional por recepción de SMS, ahora se pasa a un sistema en el que el usuario envía directamente un SMS desde su teléfono
  • Al escanear un código QR con el smartphone, se envía automáticamente un SMS a Google y así se realiza la verificación del número de teléfono
  • Con este cambio, se bloquea la creación de cuentas mediante servicios temporales de recepción de números como SMSpool
  • Aunque ayuda a prevenir el phishing, también hace más difícil la creación de cuentas anónimas para usuarios que priorizan la privacidad
  • Debido al registro con identidad real de las SIM según el país y a la reasignación de números, crece la preocupación sobre si Google podría rastrear la identidad con historiales de números anteriores o exigir una reverificación

Método de registro cambiado

  • El registro anterior mediante código QR ya no funciona y, al escanear el código QR con un smartphone, se envía un SMS desde el teléfono del usuario a Google para verificar el número telefónico
  • Este método fue introducido con fines de seguridad y hace más difícil el phishing
  • Sin embargo, ya no es posible verificarse mediante servicios dedicados solo a recibir SMS como SMSpool

Preocupaciones de privacidad

  • Los usuarios comunes originalmente no usan servicios de verificación por SMS; quienes se ven más afectados por este cambio son principalmente personas que priorizan la privacidad
  • Comprar cuentas de segunda mano implica riesgos propios, ya que no se puede conocer la relación con el propietario anterior
  • También hay reacciones que señalan que Google se está volviendo cada vez más cerrado y que harán falta métodos alternativos

Aplicación regional de la verificación por código QR

  • Se plantea la duda de si la verificación por código QR se aplica igual en todos los países
  • En algunos países (por ejemplo, Italia), al comprar una SIM es obligatorio registrar una identificación; si luego de crear una cuenta con ese número el número se reasigna, no está claro si sería posible rastrearlo
  • Google conserva el historial de todos los números telefónicos registrados por el usuario, pero no permite la verificación con números que ya no posee

Objeciones desde la perspectiva de seguridad

  • El método de enviar SMS desde el teléfono del usuario plantea preocupaciones sobre la posibilidad de suplantación de números telefónicos, especialmente respecto a su uso en MFA
  • También se plantea que eventualmente aparecerán nuevos servicios de evasión que ofrezcan envío de SMS

Lecturas relacionadas

1 comentarios

 
GN⁺ 2 시간 전
Opiniones de Hacker News

  • Hay muchas quejas sobre Gmail, pero también se entiende hasta cierto punto la situación en la que está Google
    En la práctica quedó atado a mantener gratis una gran parte de la infraestructura de internet, y tiene tantos usuarios que si lo cerrara habría caos en todo el mundo
    Mantenerlo es caro, complejo y consume mucho tiempo, además de ser tanto origen como destino de spam y fraude. También carga con la obligación de conservar los datos prácticamente para siempre
    Aun así, creo que la idea misma del correo electrónico gratuito es fundamentalmente mala. Es difícil esperar que un servicio de correo gratis sea bueno o tenga buen soporte, y si todavía existe quizá sea menos por buena voluntad que por miedo a la reacción. Simplemente es mejor usar un servicio de correo de pago y vivir más tranquilo

    • No creo que sea correcto decir que “lo cargó gratis”. Google decidió ofrecerlo gratis por su cuenta, y en ese momento la cantidad de almacenamiento gratuito era absurda
      En esa época, si el buzón del ISP te daba 25 MB o 50 MB ya se consideraba bastante decente, pero Google ofreció 1–2 GB para atraer a la gente
      Tiene derecho a tomar medidas para evitar abusos y no tiene obligación de ofrecerlo gratis, pero no es que Google haya sido forzado a cargar con el correo gratuito, ni tampoco a ofrecer beneficios muy por encima de los de sus competidores; ambas cosas fueron elección suya
    • No sé qué significa exactamente “gratis”. Google se queda con todos los datos que obtiene de los usuarios, y ahora puede rastrearte incluso cuando no estás usando el teléfono
      También controla cómo funciona internet. Puede forzar HTTPS y manejar a su antojo los rastreadores o los etags
      Puede vender toda la información sobre los usuarios a buen precio, y según los términos de servicio podría trocearla y venderla cuando quiera sin que el usuario tenga mucho margen para protestar. Puede parecer gratis por fuera, pero mucha gente le está pagando una prima a Google de muchas maneras. Antes se respetaba a Google por innovar y por querer hacer del mundo un lugar mejor; hoy sigue cambiando el mundo, pero no precisamente en una dirección buena para todos
    • Eso no es cierto para nada. Google cierra productos y servicios con total tranquilidad y bastante seguido
      Si Gmail hubiera costado más de lo que valen los datos que extrae y vende de sus usuarios, directa o indirectamente, Gmail no existiría
    • Gmail no es gratis ahora ni lo fue antes. Todos pagan el costo
      Si una empresa quiere contactar a sus clientes, tiene que pagar por una lista de permitidos para hacer envíos masivos, y ese costo termina trasladándose incluso a clientes que jamás usaron Gmail
      Si una compañía no paga por esas listas y tiene muchos clientes que usan Gmail, tiene que aplicar con cuidado límites de velocidad de envío, así que los correos pueden no llegar el mismo día
      Las empresas de marketing por correo y campañas también pagan por estar en esas listas, y luego trasladan ese costo a sus clientes. Nunca hubo un proveedor de correo que aceptara gratis correos masivos para millones de personas
    • El ecosistema de Google generó más de 130 mil millones de dólares en ganancias el año pasado, así que no me da ninguna pena

  • Si hubiera alguien de Gmail por aquí, me gustaría que explicara por qué Gmail permite correos de phishing que abusaban de servicios del propio Google. Por ejemplo cosas como https://storage.googleapis.com/savelinge/
    Hay más detalles aquí: https://news.ycombinator.com/item?id=46665414

    • Últimamente el spam se está poniendo realmente grave. Lo hacen usando sitios legítimos para esquivar los filtros, por ejemplo mandando facturas a través de páginas legítimas de generación de facturas
      También se hacen pasar por servicios de seguimiento de envíos de compras reales, durante varios días te hacen creer que el paquete se perdió y luego te empujan a usar en un sitio de phishing un código de descuento por el “monto de la compra”
      Gmail no solo no clasifica esos correos como spam, sino que los marca como importantes y hasta les da alertas y resúmenes de máxima prioridad
    • Parece que para Google todo está bien si involucra a sus propios servicios. *.bc.googleusercontent.com lleva años usándose básicamente como granja de spam, así que lo bloqueé por completo
      Pero a Google parece no importarle en absoluto, porque no quiere causarle ni la más mínima molestia a los usuarios de Compute Engine
    • Es por la misma razón por la que el filtrado de spam es difícil. Si intentas detectar todos los abusos del servicio, terminas con demasiados falsos positivos y se vuelve imposible
    • No tengo la respuesta, pero al menos eso da una hipótesis de por qué el spam obvio y ridículo de “Costco” enviado desde direcciones @gmail.com sigue entrando a la bandeja de entrada por más que lo marque como spam
    • Parece que Google tampoco logra impedir que AppSheet, que compró, sea usado por phishers para enviar correos bastante creíbles y dirigidos, y esos mensajes llegan hasta la bandeja de entrada normal
      Si ignoran las solicitudes, no queda más que escalar estos correos de estafa laboral a los equipos legales, antifraude o antiphishing de la marca suplantada. Si la empresa no parece interesada, quizá una carta formal de un bufete ayude a que lo prioricen

  • Sobre eso de que “si usas un QR en el smartphone, el teléfono envía un SMS a Google para verificar el número”, me pregunto si hay una fuente mejor que comentarios de foros que parecen creer que con solo escanear el QR ya se manda el mensaje
    Revisándolo, en realidad es solo un SMS URI. No envía nada automáticamente, solo abre un mensaje de texto listo para que el usuario lo mande
    Al final no es más que la verificación telefónica de antes con una capa de comodidad mediante código QR

    • No sé qué pasa si el teléfono no puede hacer eso. Uso un teléfono de tapa; tiene cámara pero no puede escanear códigos QR
    • Antes el método era que el usuario recibiera un SMS. Ahora recibir SMS es fácil si le pagas 30 centavos a una granja de teléfonos, así que Google lo está cambiando a un esquema donde el usuario envía el mensaje. Supongo que las granjas de teléfonos también se adaptarán pronto
    • https://datatracker.ietf.org/doc/html/rfc5724#section-2
    • Probablemente basta con que en el teléfono se abra la app de mensajes con el número y el texto ya rellenados. El usuario solo tendría que pulsar Enviar
    • ¿La verificación del número telefónico no suele ser normalmente Google enviándote un SMS a ti? Al revés se siente raro

  • Los movimientos recientes de Google parecen justo la prueba contundente que un tribunal antimonopolio necesitaba. Es básicamente “haz esto o si no…”
    reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab y Google Play deberían poder sostenerse como negocios independientes, separados de la máquina publicitaria de Google
    Gmail debería competir por usuarios contra otros proveedores de correo, y reCAPTCHA debería cubrir todos sus costos de infraestructura solo con sus propios ingresos. Sería una buena forma de nivelar el terreno, calmar las críticas y dar un poco de aire

    • Google dijo que la IA es una amenaza enorme para su imperio de búsqueda y de anuncios. Pero apenas unas semanas después de que un juez impusiera medidas sorprendentemente débiles por sus abusos monopolísticos, hizo una alianza con Apple para que casi el 100% de los agentes de IA predeterminados en smartphones estén basados en Google
    • Si Google tuviera de verdad un monopolio tan fuerte en correo electrónico, entonces en línea podrías usar cualquier otro servicio de correo, gratis o de pago, ¿no?

  • Hace poco ayudé a una pequeña empresa a configurar una cuenta de Google Workspace, y nos estrellamos durante el proceso de registro
    Les dije a los dueños que si Google ya era así de problemático desde el alta, imaginaran cómo sería si más adelante les bloquearan la cuenta cuando ya dependieran de ella para atender a clientes. Les mostré algunos casos de terror sobre bloqueos de cuentas de Google y al final eligieron otra solución de colaboración empresarial

    • Si intentas pasar de Business Standard a Business Plus, Google reduce durante hasta 24 horas el almacenamiento de Workspace de 2 TB por usuario a 0 bytes mientras hace la actualización
      La respuesta real de soporte fue: “Confirmamos que se actualizó de Business Standard a Business Plus y que el almacenamiento aparece en 0 bytes. No debe preocuparse, es completamente normal”
      También dijeron: “Cuando se actualiza la suscripción, los sistemas backend primero desvinculan la asignación anterior de almacenamiento de Business Standard y luego aprovisionan el nuevo límite de Business Plus; durante esa transición la cuota se establece temporalmente en 0 por defecto”
      Por último, nos dijeron que activáramos y luego desactiváramos cinco minutos después el límite de almacenamiento de usuario o el límite de almacenamiento de unidades compartidas, pero ese intento de forzar una reasignación más rápida falló y al final tomó varias horas
    • Por eso empecé a planear mover todos los dominios que administro fuera de Gmail. Como producto, Gmail en realidad no mejora, se vuelve cada vez más molesto intentando venderte cosas que no quieres ni necesitas
      Cada año empeora un poco más. Gmail es tan grande que, incluso pagando, casi no hay posibilidad de recibir soporte, y ese riesgo es demasiado alto para asumirlo
    • Me intriga qué significa exactamente “nos estrellamos durante el proceso de registro”. ¿Te refieres al tema de escanear el QR y mandar el SMS de este artículo, o a otro problema?
    • La he usado con bastante satisfacción desde 2013
      Eso sí, durante el último año empecé a escuchar quejas de los empleados por los pop-ups relacionados con IA, que les resultan molestos y no los quieren usar
    • Tengo curiosidad por saber qué usan en su lugar. Siempre parece que lo ajeno es mejor
      Aun así, no me sorprendería que Microsoft, aunque tenga un producto peor, al menos pueda dar mejor soporte

  • Acabo de probar yo mismo el flujo de registro y no hizo falta ningún QR. Fue exactamente el mismo proceso de los últimos años
    Elegir personal/hijo/empresa, ingresar nombre, elegir correo, fecha de nacimiento, correo de recuperación o saltarlo, contraseña, número de teléfono, verificar el código de autenticación en dos pasos, y listo
    Creé la cuenta testregistrationflow@gmail.com y ya olvidé la contraseña, así que básicamente la quemé. También podrían probar con testregistrationflow1@gmail.com para ver si se puede sin QR
    Está claro que el título describe mal un flujo específico que aplica a la gente que intenta crear muchas cuentas de Gmail de forma programática

    • Probablemente este requisito se active según cuán confiable considere Google al usuario. Cosas como usar Linux, usar Firefox o usar VPN pueden influir
    • Si el número usado para la autenticación en dos pasos queda marcado como “usado demasiadas veces”, te puede bloquear en medio del registro
      No parece haber un límite documentado, y la única solución que la gente encontró es pedirle a otra persona que te ayude con la verificación usando su número
      Lo peor es cuando te quedas fuera de una cuenta existente. Intentas iniciar sesión y te pide el número para la autenticación en dos pasos, pero aunque pongas el mismo número que usaste al registrar la cuenta, falla porque dice que ese número se ha usado demasiadas veces
      Entonces ni siquiera puedes entrar a una cuenta legítima ya existente. Claro, deberías haber agregado otro método de 2FA o una passkey, pero aun así cuesta entender por qué no puedes volver a verificarte con el número que usaste originalmente
      Además, para la verificación de cuenta en la autenticación en dos pasos al registrarte en otros servicios de Google tampoco puedes usar un número de Google Voice
    • Quizá sería mejor volver al sistema por invitación original de cuando salió Gmail
      Si cada cuenta tuviera un número pequeño y finito de invitaciones para crear nuevas cuentas, podría ser una forma de frenar a los estafadores
    • Si creas la cuenta desde el teléfono a través de un servicio de Google, ni siquiera hace falta número telefónico
    • Hoy me encontré tanto el QR de seguridad de Google como el captcha tradicional. Parece que lo están desplegando gradualmente

  • Decir “hay que escanear un código QR” es como decir que para abrir la puerta de un tren hay que escanear un QR, omitiendo que el requisito real es vincular el teléfono con la información de pago para poder cobrarte
    Lo que Google está verificando aquí no es la capacidad de convertir una matriz de datos en bytes

  • Esto parece un cambio de “seguridad”, pero al mismo tiempo también se ve muy conveniente para eliminar muchos flujos de trabajo que preservaban la privacidad

    • Yo sí creo que va por ahí. La vigilancia total solo funciona si la gente está obligada a llevar collares de rastreo
      El siguiente paso podría ser vincularlo con una moneda digital de banco central que requiera número de teléfono para acceder a la billetera, y luego atarlo a una identificación real o pasaporte para restringir movimientos
      La autenticación en dos pasos terminó siendo la cuña que hizo añicos la privacidad
    • Hay servicios en línea que dan números temporales para activar cuentas y así saltarse los requisitos de Google, pero la mayoría solo permiten recibir mensajes
      Exigir que el usuario envíe un SMS parece una excelente manera de eliminar esos servicios y hacer que los bots ya no puedan usarlos
      De todos modos, no tengo claro qué significaría realmente un flujo que preserve la privacidad en una cuenta de Google. Google puede rastrearte aunque no conozca tu número de teléfono