Google Cloud Storage con cifrado, y todos contentos

Me sorprende alarmantemente que los medios del mundo entero recojan a bombo y platillo la noticia de que Google empezará a cifrar (porque se dice cifrar, no encriptar…(ES)) los datos alojados en su servicio en la nube (EN), mientras se corre un tupido velo por el hecho de que nuestros emails no son privados (ES).

Google-logo-with-Security-Camera

Y digo alarmante, porque pasamos de un estado de crispación a uno de expectativa cumplida. Un autoengaño, influenciado por el poder de los canales de comunicación, que no hacen más que confundir (entiendo que más por desconocimiento que por mala uva) al usuario final.

Varios puntos en relación con el tema:

  • Si leemos el artículo que acompaña estas palabras, nos daremos cuenta que el cifrado empieza a estar disponible en el servicio Cloud Storage de Google, esto es, en su nube para empresas. Así que Google Drive sigue tal y como estaba. Esto además tiene una connotación extra, y es que echa por tierra las declaraciones de la compañía años atrás en referencia a su servicio premium (si ahora Cloud Storage contará con cifrado, ¿eso significa que antes se pasaba en texto plano?).
  • El servicio contará con cifrado AES de 128-bits, suficiente para miradas indiscretas, aunque inferior en todo caso al estándar usado para comunicaciones seguras en bancos (de 256). Es mejor que nada, pero ya que estamos ante un servicio usado por compañías (donde se prevé que haya archivos comprometidos, como facturas y bases de datos de clientes y trabajadores), hubiera esperado bastante más.
  • Que nadie se llame a engaño: el cifrado de lado del servidor solo nos protege en caso de fallos de seguridad en los servidores de Google. Eso quiere decir que si alguien nos hace un man in the middle, o tenemos algún terminal en la compañía con una back door, el archivo es tan accesible como cualquiera.
  • Rizando el rizo, tampoco soluciona el principal problema, y es que al cifrarlo del lado del servidor, las claves son gestionadas por la compañía (en este caso Google), y por tanto puede cederlas en cualquier momento a la NSA o al gobierno de turno. Es decir, que si pensáis que con ello Google está evitando ceder nuestros datos para el espionaje que EEUU está llevando a cabo, estáis muy equivocados. Al menos en este caso, es sincero al incluir en el comunicado que aquellos que deseen algo más de seguridad, pueden gestionar su propio cifrado antes de subirlo al servidor.

Of course, if you prefer to manage your own keys then you can still encrypt data yourself prior to writing it to Cloud Storage.

  • Entendiendo un servicio como GMail como lo que es: Para bien o para mal, soy usuario intensivo de GMail, tanto de su versión gratuita como de la de pago (la antigua Google Apps). Y como usuario intensivo, entiendo que el servicio depende de la publicidad, y por tanto acepto que mis emails estén sometidos a un análisis de cara a ofrecer publicidad contextual. Trasladado al mundo real, ocurre lo mismo con el correo ordinario, que aunque vaya en un sobre, puede pasar por los rayos X para saber si en verdad estás enviando una carta u otra cosa. Pero de ahí a que esa información sea tratada como información hay un largo trecho, y es justo el principal problema de cara a la privacidad que desde dentro, con anuncios como el que encabeza este artículo, están intentando tapar.

Alternativas hay pocas. Cuando te creas una cuenta de Google, aceptas sus condiciones, y con la decisión de centralizar esta política para todos sus servicios, han ganado muchísimo (a efectos prácticos, la información puede ser tratada de igual forma, ya sea búsquedas en su buscador, geoposicionamiento automático del smartphone, o emails privados). Y más aún cuando te das cuenta que varios de los webmails que ofrecían correo privado están siendo obligados a echar el cierre o pasar por el aro.

Por ello quizás lo más recomendable es recurrir a plugins que cifren el email antes de enviarse, que sean multiplataforma y que permitan su uso de forma sencilla.

La cuestión es compleja, ya que fuerzas al receptor a instalar una herramienta extra. Y si éste usa un servicio de escritorio (o una app móvil) puede que ni pueda acceder a la información.

Por ello no me atrevo a recomendaros ninguno. Durante estos días, estoy barajando algunos, pero todavía no he encontrado un método que de verdad sea todoterreno. Si sabéis de alguno, agradecería que me informarais.

En cuanto tenga algo, tened claro que pasaré por aquí para contaros mi experiencia.