Actualización (julio de 2011): ahora sí advierte a los usuarios :)
Desde la Configuración de Gmail y la sección de Reenvío y correo POP/IMAP, se puede configurar la cuenta para reenviar automáticamente todos los correos recibidos a otra dirección.
Esto puede ser muy útil para los usuarios que administran varias cuentas, el problema es que al configurar un reenvío no aparece ningún tipo de advertencia en la página principal (bandeja de entrada) y esto puede ser bastante peligroso si otra persona logra acceder a la cuenta y configurarlo.
Pueden pasar semanas e inclusos meses sin que el cambio sea detectado ¿cuándo fue la última vez que chequeaste esa opción? Además de leer todos los correos personales recibidos, un atacante podría tener acceso a usuarios y passwords de servicios que las envían por correo, incluso podría solicitar el reset de una contraseña para obtener links de confirmación y demás cosas que sólo el titular de la cuenta debería ver.
Este no es un tema nuevo, muchas personas han tenido problemas de privacidad con esta opción de Gmail y algunos casos han sido bastante complicados al involucrar robos de otras cuentas y servicios.
Lista de verificación de seguridad de Gmail:
Recientemente se incorporó una lista de verificación que repasa 18 elementos críticos que pueden comprometer la cuenta de correo, vale la pena tomarse unos minutos y completarla.
La puedes ver aquí: http://support.google.com/mail/checklist/2986618?rd=1 (es necesario estar logueado)
En uno de los puntos se recomienda justamente verificar la configuración del reenvío automático, cosa que no tendríamos que hacer si en la página principal se mostrara una advertencia cuando el filtro se configura por primera vez o se modifica:
Hotmail muestra una advertencia:
Por otro lado el webmail de Microsoft muestra una advertencia en la página principal anunciando que el reenvío está activado, es un mensaje molesto pero al menos de esta forma si configuran un reenvío sin nuestro consentimiento lo notaremos fácilmente.
Sin embargo, si la dirección de reenvío se modifica el mensaje es el mismo y aunque sólo se puede configurar una dirección, pueden pasar varias horas o días hasta que la víctima note que algo anda mal.
Cabe mencionar que para lograr acceder a la cuenta y modificarla no necesariamente hay que conocer la contraseña, utilizando programas como Firesheep se podría robar la sesión sin muchas complicaciones desde otra computadora.