Google anunció que Gmail tendrá 'cifrado de extremo a extremo'. Pero la definición de los expertos no coincide con la suya

Publicado el 07/04/2025 por Diario Tecnología

Artículo original

Hace unos días Google anunció la implementación de un sistema de cifrado "de extremo a extremo" para los usuarios empresariales de Gmail, generando tanto expectativas como escepticismo entre expertos en seguridad.

Esta nueva característica, presentada como una solución innovadora, ha levantado un intenso debate sobre si realmente cumple con los estándares que definen a un verdadero sistema de cifrado de extremo a extremo (E2EE).

Cómo funciona el cifrado de extremo a extremo de Gmail

El mecanismo implementado por Google funciona de la siguiente manera: cuando un usuario redacta un correo electrónico y activa la función de cifrado, el mensaje se cifra directamente en el navegador (Chrome, Firefox u otro) antes de ser enviado. El correo permanece encriptado en todo momento y solo se descifra una vez que llega al navegador del destinatario, después de que éste se haya autenticado.

Para hacer esto posible, la organización del remitente debe desplegar un servidor de claves ligero conocido como KACL (lista de control de acceso de claves). Este servidor, que puede alojarse localmente o en servicios en la nube, genera y almacena las claves necesarias.

En Genbeta

Corea del Norte se financia con falsos empleados que se infiltran en compañías tecnológicas. Y ya van a por Europa, según Google

Cuando se envía un mensaje cifrado, el navegador del remitente se conecta al servidor KACL para obtener una clave simétrica efímera. El navegador cifra el mensaje y lo envía junto con una clave de referencia. El navegador del destinatario utiliza esta clave de referencia para descargar la clave simétrica del KACL y descifrar el mensaje, tras lo cual la clave se elimina.

Para evitar que nadie pueda interceptar el mensaje maliciosamente, el destinatario debe autenticarse previamente a través del proveedor de identidad que utilice la organización remitente (como Okta o Ping).

Para algunos expertos, el sistema de Gmail no es E2EE

Julien Duplant, gestor de producto de Google Workspace, contaba al medio Ars Technica que "la idea es que en ningún momento y de ninguna manera Gmail tenga la clave real. Nunca. Y nunca tenemos el contenido descifrado. Solo ocurre en el dispositivo del usuario".

Sin embargo, bajo definiciones más estrictas comúnmente utilizadas en círculos orientados en privacidad y seguridad, este sistema probablemente no se regiría bajo el concepto estricto que se tiene de un sistema de cifrado de extremo a extremo. Para los puristas, E2EE significa que solo el remitente y el destinatario tienen los medios necesarios para cifrar y descifrar el mensaje.

En el caso de Gmail, tal y como la compañía dice que está implementado el sistema, las personas dentro de la organización del remitente que gestionan el KACL tienen la custodia real de la clave. Es decir, aunque el cifrado y descifrado ocurren en los dispositivos de los usuarios finales, las claves son gestionadas por la organización del remitente. De esta manera, los administradores con acceso completo podrían interceptar las comunicaciones en cualquier momento.

Más allá del debate técnico, la forma en que Google ha implementado este sistema ha generado también otro tipo de críticas. Y es que tal y como cuenta Michał Sapka, experto ingeniero de software, en su blog, cuando un usuario de Gmail envía un correo "cifrado de extremo a extremo", el destinatario recibe un enlace y debe utilizar una versión "minimal" de Gmail para poder leerlo, incluso si nunca ha tenido una cuenta de Google.

Esta decisión ha sido interpretada por algunos como un "movimiento de poder" por parte de Google, ya que obliga a los destinatarios a utilizar un servicio de Google, una idea no muy bien recibida para aquellos que quieren desprenderse de los servicios de la compañía en todo momento.

En Genbeta

Dar los datos del DNI con una fotocopia sin editar no es seguro. Lo bueno de la app miDNI es que eso se acaba

Como indica la propia documentación de Google: "Los equipos de TI también tienen la opción de exigir que todos los destinatarios externos (incluso si son usuarios de Gmail) utilicen la versión restringida de Gmail. Esto ayuda a garantizar que los datos de su organización no terminen almacenados en servidores y dispositivos de terceros. También facilita a las organizaciones proteger sus datos al tener la capacidad de aplicar políticas de seguridad y revocar el acceso a los correos electrónicos, sin importar cuánto tiempo hace que se enviaron. Esencialmente, el correo electrónico E2EE se convierte en un documento en Google Drive, permitiendo al equipo de TI controlar su acceso."

Esta nueva característica tiene un valor añadido para organizaciones que deben cumplir con estrictas regulaciones que exigen cifrado de extremo a extremo, eliminando las complicaciones asociadas con sistemas tradicionales como S/MIME. Sin embargo, las dudas que ha sembrado el funcionamiento de este sistema hacen que muchos opinen que esta solución no es adecuada para consumidores o cualquier persona que desee tener control exclusivo sobre los mensajes que envía.

Para muchos, este sistema convierte a Google en el verdadero propietario del mensaje enviado, limitando la capacidad del destinatario para leer, buscar o manipular estos correos en sus propios términos, transformando su correo electrónico en un simple canal de notificaciones.

Imagen de portada | Foto de Justin Morgan en Unsplash

En Genbeta | La nueva app miDNI permite llevar el DNI en el móvil. Esto sabemos sobre la seguridad que ofrece

utm_campaign=07_Apr_2025"> Antonio Vallejo .

Descarga la app de Diario Tecnología

Últimos posts

Contacto

info@diariotecnologia.es