Me sorprende alarmantemente que los medios del mundo entero recojan a bombo y platillo la noticia de que Google empezará a cifrar (porque se dice cifrar, no encriptar…(ES)) los datos alojados en su servicio en la nube (EN), mientras se corre un tupido velo por el hecho de que nuestros emails no son privados (ES).
Y digo alarmante, porque pasamos de un estado de crispación a uno de expectativa cumplida. Un autoengaño, influenciado por el poder de los canales de comunicación, que no hacen más que confundir (entiendo que más por desconocimiento que por mala uva) al usuario final.
Varios puntos en relación con el tema:
- Si leemos el artículo que acompaña estas palabras, nos daremos cuenta que el cifrado empieza a estar disponible en el servicio Cloud Storage de Google, esto es, en su nube para empresas. Así que Google Drive sigue tal y como estaba. Esto además tiene una connotación extra, y es que echa por tierra las declaraciones de la compañía años atrás en referencia a su servicio premium (si ahora Cloud Storage contará con cifrado, ¿eso significa que antes se pasaba en texto plano?).
- El servicio contará con cifrado AES de 128-bits, suficiente para miradas indiscretas, aunque inferior en todo caso al estándar usado para comunicaciones seguras en bancos (de 256). Es mejor que nada, pero ya que estamos ante un servicio usado por compañías (donde se prevé que haya archivos comprometidos, como facturas y bases de datos de clientes y trabajadores), hubiera esperado bastante más.
- Que nadie se llame a engaño: el cifrado de lado del servidor solo nos protege en caso de fallos de seguridad en los servidores de Google. Eso quiere decir que si alguien nos hace un man in the middle, o tenemos algún terminal en la compañía con una back door, el archivo es tan accesible como cualquiera.
- Rizando el rizo, tampoco soluciona el principal problema, y es que al cifrarlo del lado del servidor, las claves son gestionadas por la compañía (en este caso Google), y por tanto puede cederlas en cualquier momento a la NSA o al gobierno de turno. Es decir, que si pensáis que con ello Google está evitando ceder nuestros datos para el espionaje que EEUU está llevando a cabo, estáis muy equivocados. Al menos en este caso, es sincero al incluir en el comunicado que aquellos que deseen algo más de seguridad, pueden gestionar su propio cifrado antes de subirlo al servidor.
Of course, if you prefer to manage your own keys then you can still encrypt data yourself prior to writing it to Cloud Storage.
- Entendiendo un servicio como GMail como lo que es: Para bien o para mal, soy usuario intensivo de GMail, tanto de su versión gratuita como de la de pago (la antigua Google Apps). Y como usuario intensivo, entiendo que el servicio depende de la publicidad, y por tanto acepto que mis emails estén sometidos a un análisis de cara a ofrecer publicidad contextual. Trasladado al mundo real, ocurre lo mismo con el correo ordinario, que aunque vaya en un sobre, puede pasar por los rayos X para saber si en verdad estás enviando una carta u otra cosa. Pero de ahí a que esa información sea tratada como información hay un largo trecho, y es justo el principal problema de cara a la privacidad que desde dentro, con anuncios como el que encabeza este artículo, están intentando tapar.
Alternativas hay pocas. Cuando te creas una cuenta de Google, aceptas sus condiciones, y con la decisión de centralizar esta política para todos sus servicios, han ganado muchísimo (a efectos prácticos, la información puede ser tratada de igual forma, ya sea búsquedas en su buscador, geoposicionamiento automático del smartphone, o emails privados). Y más aún cuando te das cuenta que varios de los webmails que ofrecían correo privado están siendo obligados a echar el cierre o pasar por el aro.
Por ello quizás lo más recomendable es recurrir a plugins que cifren el email antes de enviarse, que sean multiplataforma y que permitan su uso de forma sencilla.
La cuestión es compleja, ya que fuerzas al receptor a instalar una herramienta extra. Y si éste usa un servicio de escritorio (o una app móvil) puede que ni pueda acceder a la información.
Por ello no me atrevo a recomendaros ninguno. Durante estos días, estoy barajando algunos, pero todavía no he encontrado un método que de verdad sea todoterreno. Si sabéis de alguno, agradecería que me informarais.
En cuanto tenga algo, tened claro que pasaré por aquí para contaros mi experiencia.
Sorprendente lo que comentas Pablo, sobre google, parece ser que no se que va ocurrir con google, puede ser el mayor buscador, pero a la vez es curioso que tenga esa inseguridad, y pocas personas saben que gmail tiene la opcion de proteccion por el movil con un codigo pero a la vez, quien hace la ley hace la trampa. No existe algo seguro en internet. Excelente articulo
A Google le está pasando lo que en su día le pasó a Microsoft. Es una compañía muy grande, que poco a poco está perdiendo el norte. Y es algo normal, cuando hay que llegar a fin de mes y levantar millones de dólares.
Han creado un ecosistema de servicios realmente bueno, y ahora toca el turno de ir monetizándolo. Y es entonces cuando esa filosofía abierta y social (el llamado “Don´t be the evil”) que hace tiempo la representaba, queda relegado a un segundo término.
Es agradable ver que el cifrado se valora más según van haciéndose públicas las sorprendentes prácticas de grandes empresas y el gobierno americano (y lo que no se publicita pero ocurre entre bambalinas!).
En mi caso utilizo cifrado basado en certificados, pero claro, sólo con las personas que disponen también de él.
En otros casos incorporo cada vez más ProtOn, que ofrece interesantes capacidades gratuitas con tan solo crearte una cuenta gratuita.
Saludos y felicitaciones !
Pues muchas gracias por la sugerencia Julián Pérez. Le echaré un vistazo a ProtOn. El tema del cifrado en emails es complejo, ya que como bien dices, obliga al receptor a usarlo, y mucha gente ni sabe ni quiere. Pero bueno, es cuestión de tiempo.