Google lanza una herramienta de cifrado de extremo a extremo para correos electrónicos empresariales, buscando más seguridad. Si bien la idea es buena, expertos advierten que esto podría ser aprovechado por estafadores para nuevos ataques de phishing, especialmente para aquellos que no son usuarios de Gmail. La gestión de claves plantea interrogantes sobre si es un cifrado «de extremo a extremo» en el sentido más estricto.
A principios de abril, «Google anunció el lanzamiento de una herramienta simplificada que permitirá a los usuarios empresariales enviar fácilmente mensajes de correo electrónico cifrados de extremo a extremo», buscando facilitarle la vida al laburante. La función está en fase beta, disponible para que las empresas la prueben.
Después, se extenderá para que cualquiera con Google Workspace pueda mandar correos seguros a cualquier cuenta de Gmail. Y, más adelante, a cualquier casilla. Pero ojo, que donde hay seguridad, también hay avivadas. Investigadores especializados en spam y fraude digital ya están alertando que esto podría abrir la puerta a nuevas estafas.
¿Cifrado Total o Versión Beta de la Seguridad?
El cifrado «de extremo a extremo» busca que solo el que manda y el que recibe el mensaje puedan leerlo. El tema es que implementarlo no es fácil y suele ser caro. La apuesta de Google busca simplificar esto, aunque genera dudas sobre si es realmente un cifrado puro.
«Cuando el destinatario no es usuario de Gmail, este recibe una invitación para ver el correo electrónico E2EE en una versión restringida de Gmail. El destinatario puede entonces utilizar una cuenta invitada de Google Workspace para ver y responder al correo electrónico de forma segura», explicaron desde la empresa.
Acá es donde los expertos ven el peligro. ¿Qué pasa si los estafadores crean copias falsas de estas invitaciones? Jérôme Segura, capo de inteligencia de amenazas en Malwarebytes, lo explica claro: «Al observar la implementación de Google, podemos ver que introduce un nuevo flujo de trabajo para los usuarios que no son de Gmail: recibir un enlace para ver un correo». Y aclara que, como la gente no está familiarizada con estas invitaciones, pueden caer fácilmente en la trampa.
Dada las limitaciones del correo electrónico, Google implementó un método para que la organización administre las claves para descifrar los mensajes. Lo importante es que la administración de las claves la hace el entorno de la organización, en lugar de guardarse en los dispositivos. Esto dice que la función no puede considerarse cifrado de extremo a extremo literalmente hablando. Lo que si es que ayuda a cumplir normativas.
¿Gmail dejará a los usuarios a la deriva?
Cuando recibamos uno de estos correos cifrados, los filtros de spam y los mecanismos de detección de Google deberían protegernos. Pero, ¿qué pasa con los que no usan Gmail? Ahí la cosa se complica.
Por eso, las invitaciones van a venir con una advertencia: «Ten cuidado al iniciar sesión para ver este mensaje cifrado. Este mensaje procede de un remitente externo. Asegúrate de que confías en el remitente y en su proveedor de identidad antes de introducir tu nombre de usuario y contraseña». Una forma de curarse en salud.
Así que, en resumen, Google nos trae una herramienta que promete más seguridad, pero que también podría generar nuevos problemas. Como siempre, habrá que estar atentos y no confiarse demasiado. Porque, al final, la seguridad total no existe. O, como diría mi abuela: «Ojos que no ven, facturas que te revientan».
