El martes pasado Google presentó el software llamado End-to-End para encriptar mensajes de Gmail en tránsito. Al mismo tiempo, publicó datos sobre el uso de la encripción de parte de proveedores de correo electrónico, con el fin de exponer a compañías con prácticas de seguridad indiferentes.
En una publicación en su blog, el gerente de Productos de Seguridad de la empresa, Stephan Somogyi, caracterizó el esfuerzo de Google simplemente como un intento por “facilitar un poco este tipo de encripción”. Pero la acción de la firma Web se da después de un año de revelaciones acerca del punto hasta donde las agencias de inteligencia pueden tener acceso a las comunicaciones electrónicas. Los documentos filtrados por el otrora contratista de la NSA, Edward Snowden, han hecho que organizaciones e individuos se muestren reservados sobre confiar su información a terceros.
Con esto, Google está alentando a otros proveedores de servicios online a hacer más para proteger los datos de sus clientes. Para poner nombre a esto, menos de 1% del e-mail enviado de Gmail a direcciones de comcast.net durante mayo se mantuvo encriptado. Es posible que Google pueda acelerar la adopción de la encripción en la industria y recuperar la fe en el Cloud Computing, del cual depende mucho de los negocios actuales.
La táctica de Google parece ya estar dando resultados. El martes, Comcast dijo estar probando la encripción de los mensajes de e-mail de sus clientes y pretende comenzar a implementar la tecnología en cuestión de semanas.
Los peros a tomar en cuenta
De acuerdo con esta firma, sólo 69% de los mensajes enviados de Gmail a otros proveedores, y 48% de los mensajes enviados a Gmail, permiten la encripción a través de la seguridad en el nivel de transporte (TLS, por sus siglas en inglés).
Pero Google no puede proteger el Internet de forma unilateral. En su Reporte de Transparencia, la compañía reconoció que aunque el encriptado dificulta fisgonear en mensajes en tránsito, no lo hace imposible. Además, los mensajes de correo electrónico pueden ser leídos una vez que son entregados a través de malware u otros medios.
Asimismo, la adopción de encripción de parte de Google tendrá una desventaja para la compañía: los mensajes encriptados en servidores de Google no pueden ser examinados, lo que elimina su uso como fuente de datos orientados a publicidad. Sin embargo, dada la cantidad de datos que conoce ya Google sobre sus usuarios y el hecho que espera que sólo la minoría consciente de la seguridad instale su software de encripción, es poco probable que la capacidad de la emrpesa de dirigir publicidad se degrade mucho.
Cabe señalar que el software de encripción de Google aún no está listo para su uso generalizado. La empresa lo ofrece como código alfa, de modo que se puede probar. Quienes encuentren errores en el código pueden revelarlos para recibir una posible recompensa a través del Programa de Recompensas por Vulnerabilidades de Google.
Cuando End-to-End esté listo para salir al mercado, la firma Web planea ofrecerlo a través de su Chrome Web Store como extensión para el navegador Chrome. End-to-End está basado en OpenPGP, protocolo abierto para encriptar mensajes a través de la criptografía de claves públicas.
Origen: http://www.informationweek.com.mx/analysis/end-to-end-nueva-estrategia-de-seguridad-de-google/
