“Hola, estoy fuera de la oficina hasta el día 3 de mayo; si tienes algún mensaje urgente, puedes llamarme al teléfono…”: un mensaje así, incluido en la respuesta automática de el servicio de correo electrónico Gmail puede sernos muy útil para no perder un recado importante y a la vez no tener que estar pendiente del correo cuando estamos de vacaciones.

A continuación, te explicamos cómo se configura esta respuesta en la página web de Gmail, para que puedas hacerlo siempre que desees de un modo rápido y sencillo.

*Este videoconsejo es fruto de la colaboración entre la Fundación Cibervoluntarios.org y eldiario.es con el ánimo de reducir la brecha digital en la sociedad española con ejemplos concretos y prácticos.

Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines 

El correo electrónico se ha convertido, además –o a pesar– de las redes sociales, en la plataforma más utilizada para comunicarse. Ya sea por trabajo, ocio, familia… todos los usuarios lo utilizamos prácticamente a diario.

Gmail es la plataforma de este tipo más extendida en el mundo. La última vez que Google dio datos sobre su correo electrónico, en octubre de 2018, confirmó que Gmail había superado los 1.500 millones de usuarios.

Por lo que seguramente muchos de vosotros también contaréis con una cuenta en esta plataforma. Por eso, recopilamos algunos consejos para sacarle el máximo partido a Gmail.

1. Aumentar el tiempo de eliminar el envío

Una de las mejores características que tiene Gmail es la de poder eliminar un correo enviado pocos segundos después. Esto permite que, si por cualquier motivo, el usuario se da cuenta de un error o, simplemente, que no era momento de enviarlo, puede redimirse.

De manera predefinida, este tiempo es de 5 segundos después de enviarlo. Pero desde el menú de Configuración –un engranaje situado en la esquina derecha superior de la pantalla– puede ampliarse ese tiempo a 10, 20 o 30 segundos.

2. Modificar la bandeja de entrada

De serie, todas las cuentas de Gmail cuentan con tres bandejas de entrada: Principal, Social y Promociones. Pero estas no son fijas.

De nuevo, desde el menú de Configuración se puede elegir el tipo de bandeja de entrada. En ella, dándole al botón “Personalizar”, se pueden añadir y quitar apartados.

3. Crear etiquetas

Otra manera de organizar los emails que recibes es crear etiquetas. Se trata de un sistema de carpetas para clasificar los correos electrónicos, algo muy útil, sobre todo, si se reciben muchos por día.

De nuevo, desde Configuración y Ajustes, se pueden crear diferentes etiquetas y subetiquetas. De esta manera, por ejemplo, se puede crear una que sea “Trabajo” y dentro de esta “Proyectos”, “Pendientes de responder”, etc.

4. Destacar si has recibido un mensaje solo tú

Aunque parezca un detalle nimio, a veces puede ser útil saber qué correos está recibiendo uno mismo o si se trata de alguna cadena. Esto se indica a través de una o dos flechas: una flecha (>) significa que el email es solo para una persona; dos flechas (>>) que ha sido enviado a un grupo de usuarios.

Esto se configura desde el menú de Ajustes en “Indicadores personales”.

5. Respuesta automática

¿Y si te vas de vacaciones o has tenido una urgencia? Gmail también tiene la opción de crear una respuesta automática para que, cuando recibas un email, se envíe automáticamente un mensaje predeterminado para avisar de tu ausencia.

Desde Configuración y General, se puede activar la Respuesta automática (recibe este nombre). Dentro de ese apartado, Gmail permite establecer un periodo concreto o simplemente activarlo sin una fecha fin establecida.

Una vez activado, se podrá personalizar tanto el Asunto del email que reciba el remitente como el cuerpo del mensaje.

6. Posponer correos

A veces se reciben correos importantes o interesantes en un momento de ocio o cuando, simplemente, no puede ponerse uno a responder. Por eso hay una opción para “posponer” este tipo de correos.

Gmail permite auto–reenviarte a la bandeja de entrada. En la versión de escritorio, esta opción se encuentra en el lateral derecho del email; mientras que en la versión móvil se accede al entrar en el mensaje y dándole al botón de los tres puntos.

Esta opción permite al usuario establecer una fecha concreta o momento determinado para recibir de nuevo ese email y, así, poderlo atender como es debido más tarde.

7. Usar la versión para mala internet

Si por cualquier motivo tienes un internet lento o quieres consumir mucho menos, puedes activar la versión HTML. Consume mucha menos red y va más rápido.

8. Dar acceso a otra persona

Por el motivo que sea, un gran periodo durante el que no puedas atender el correo o si es de empresa, Gmail te permite que otra persona pueda acceder a la cuenta. Además, sin necesidad de darle la contraseña.

Desde Configuración y Cuentas e Importación, puedes concederle acceso a otra cuenta. Tan solo tendrás que indicar una cuenta de correo electrónico que recibirá los emails.

Gmail avisa de que esta persona solo podrá “leer, eliminar y enviar correos” en el nombre de la cuenta principal, pero que no podrá configurar nada de ella.

9. Descargarte un .zip con tus datos

Si vas a cambiar de email, vas a dejar de utilizar una cuenta o, simplemente, te interesa guardar los mensajes enviados, Google Takeout puede ayudarte.

Se trata de un servicio de Google que permite descargarte en un archivo comprimido (.zip) todo tu historial de los servicios de la empresa. Ubicaciones, búsquedas, contactos, fotos… y correos electrónicos.

Esta función permite seleccionar exactamente qué quieres descargarte y establecer que esta copia se realice cada cierto tiempo o que sea una única vez.

Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines

Pete Buttigieg lideraba con el 63% de apoyo. Andrew Yang se situaba en segundo lugar, con el 46%. Y la situación de Elizabeth Warren parece preocupante, con el 0%. Estos no son los resultados de sondeos recientes de las primarias del Partido Demócrata para elegir el candidato a las elecciones presidenciales de Estados Unidos en 2020. Simplemente es un reflejo de cómo los correos electrónicos de los distintos candidatos demócratas han conseguido esquivar los filtros y llegar a las bandejas de entrada de los votantes.

En The Markup, una organización sin ánimo de lucro con sede en Nueva York que evalúa el impacto de la tecnología en la sociedad, abrimos una nueva cuenta de Gmail para ver cómo la compañía filtra los correos de los candidatos, think tanks, activistas y organizaciones sin ánimo de lucro.

Descubrimos que, a pesar de habernos registrado para recibir comunicaciones de estos emisores, tan solo el 11% de los correos llegaron a la bandeja de entrada; la primera que revisa el usuario cuando abre su cuenta de correo de Gmail o, como afirma la compañía, esos correos “que realmente te interesan”. La mitad de los correos fueron a parar a 'promociones', que según Gmail es para ofertas y publicidad. Gmail mandó el 40% de los correos a spam.

En el caso de las campañas políticas y de los candidatos –que obtienen una cantidad considerable de sus donaciones a través del correo electrónico&ndash que sus mensajes vayan a parar a pestañas menos visibles o directamente a spam puede tener grandes consecuencias.

“El hecho de que Gmail tenga tanto control sobre nuestra democracia y sobre lo que sucede y quién recauda dinero es aterrador”, afirma Kenneth Pennington, un consultor que trabajó en la campaña digital de Beto O'Rourke. “Da miedo pensar que si Gmail cambia sus algoritmos, puede cambiar el resultado de las elecciones”.

Facebook y Twitter seleccionan las publicaciones que los usuarios ven en el canal de noticias (news feed), y destacan algunas mientras que otras apenas se muestran. Esto es de sobra conocido. En cambio, lo que ha recibido menos atención es cómo el correo electrónico también se ha convertido en una plataforma programada por algoritmos y monetizada (se ha convertido en otro feed) y el impacto que esto puede tener. Algunas organizaciones sin ánimo de lucro y campañas políticas afirman que los filtros de la bandeja de entrada de Gmail les han causado una caída de donaciones y de apoyos en peticiones de firmas para determinadas causas.

En un correo electrónico a The Guardian, la responsable de comunicación de Google, Katie Wattie, ha explicado en estas categorías “ayudan a los usuarios a organizar sus correos electrónicos”. “Las clasificaciones de correo se ajustan automáticamente para que coincidan con las preferencias y acciones de los usuarios”, ha indicado. “A los usuarios les gusta mucho cómo están organizadas las pestañas”.

Gmail habilita las pestañas de forma predeterminada, pero se pueden desactivar. Wattie no ha querido proporcionar información sobre si la mayoría de los usuarios mantienen las pestañas o las desactivan, pero una empresa de entrega de correo electrónico ha puntualizado que en una encuesta de 2016 cerca del 34% de los participantes afirmaron que las mantienen activas.

Pestañas como filtro para anuncios

Las pestañas tienen otra finalidad: inventario de anuncios. Aunque Gmail no vende anuncios en la bandeja de entrada principal, los anunciantes pueden pagar por el primer lugar en las pestañas sociales y de promociones en las cuentas gratuitas.

Algunos temen que, como resultado, Gmail tenga el mismo conflicto de intereses que ya se da en las redes sociales: si las plataformas facilitan que los mensajes fluyan sin dificultad y lleguen fácilmente a la bandeja de entrada, nadie les comprará anuncios.

“Lo que preocupa es que el objetivo final sea que Gmail se convierta en algo parecido al canal de noticias de Facebook y tengas que pagar para que te pongan en la bandeja de entrada”, indica Ryan Alexander, un consultor digital. Por su parte, Wattie, la portavoz de Google, niega que esa sea “la estrategia de la compañía para Gmail”.

Gmail no es el único proveedor de correo electrónico que ofrece un sofisticado sistema de clasificación de la bandeja de entrada. El proveedor de correo electrónico Superhuman, con un servicio premium de 30 dólares al mes, clasifica los mensajes en “importantes” y “otros”, mientras que Microsoft Outlook clasifica los mensajes para su “bandeja de entrada enfocada al usuario”. Outlook y Yahoo también venden anuncios para las bandejas de entrada de las cuentas gratuitas.

Pero con 1.500 millones de direcciones de correo electrónico activas y una cuota de mercado estimada del 27,8%, la clasificación algorítmica de la bandeja de entrada de Gmail tiene un impacto enorme.

Nida Hasan, directora de Change.org en la India, explica que en la primavera de 2018 descubrió que el porcentaje de usuarios de Gmail que abrían los correos electrónicos de su organización se había desplomado repentinamente en todo el mundo, y esto había estancado las llamadas solidarias de la organización. En la India, el 90% de los seguidores de Change.org utilizan cuentas de Gmail. “Estuvimos impulsando campañas realmente buenas que no tuvieron la respuesta esperada o solo unos miles de firmas”, señala.

Los trabajadores de Change.org revisaron sus cuentas de Gmail y fue así cómo se percataron de que Gmail enviaba correos electrónicos de Change.org a la pestaña de 'promociones'; de hecho, incluso los mensajes que enviaba la organización para que uno de sus usuarios registrados pudiera recuperar la contraseña terminaban en esa bandeja.

Una coalición de ocho grupos progresistas de derechos en Estados Unidos notó un cambio similar más o menos por esa misma fecha y explica que este filtro hizo caer las donaciones y las adhesiones a sus campañas de petición de firmas. Revisamos los datos de los correos electrónicos proporcionados por Democracy for America, CREDO Action y SumOfUs y encontramos que efectivamente las tasas de apertura en Gmail disminuyeron en esa fecha, cerca del 50% en comparación con los correos electrónicos enviados a los suscriptores que utilizan otros proveedores de correo electrónico.

“Creemos que están obstaculizando nuestra capacidad para informar y movilizar políticamente a la población, lo que consideramos fundamental para una democracia sana”, indicó la coalición en una carta a Google en noviembre de 2018.

Durante una conversación telefónica al mes siguiente, un trabajador de Gmail les ofreció un consejo para que más personas miraran sus mensajes: “Nada les impedía comprar un anuncio en la pestaña de promociones o hacer una oferta”. Así lo explica Lee Carosi Dunn, que en ese momento era la responsable las ventas de elecciones, alcance político y política para Google, según las notas tomadas por una persona en la llamada. “Su tipo de usuarios puede estar buscando ofertas también, algún trato que involucre la recaudación de fondos o el compromiso”.

“Nos horrorizó escuchar eso”, afirma Robert Cruickshank, director de campaña de Demand Progress, que estaba presente durante la llamada. “No queremos que parezca que mandamos publicidad porque no nos dedicamos al marketing. Estamos instando a la población a contactar con el Congreso”.

Wattie, la portavoz de Google, no ha respondido directamente a las preguntas sobre la llamada, sino que ha escrito en un correo electrónico que desde 2016 Gmail no permite que los anuncios tengan “contenido político” y que estos incluirían la promoción de temas y la recaudación de fondos.

Para probar cómo gestiona Gmail los correos electrónico con contenido político, abrimos una nueva cuenta de Gmail utilizando un nuevo número de teléfono y Tor, un navegador anónimo, para evitar enviar señales sobre tendencias políticas basadas en nuestra actividad en la red. Google afirma que la clasificación de Gmail es personalizada, lo que significa que la actividad del usuario puede afectar al criterio con el que se clasifican por bandejas los correos electrónicos que recibe un determinado usuario.

El 90% de los correos acabaron en promociones

Nos inscribimos en las listas de correo electrónico de 16 candidatos presidenciales, tanto demócratas como republicanos. La campaña de Donald Trump nunca nos envió ningún correo electrónico. También nos inscribimos para recibir mensajes de candidatos al Congreso en aquellos casos en los que los sondeos dan un margen ajustado entre candidatos, y grupos de activistas, think tanks y organizaciones sin ánimos de lucro de todo el espectro político.

En cuatro meses, recibimos más de 5.000 correos electrónicos de 171 grupos. Gran parte de los correos electrónicos pedían donaciones. Algunos remitentes fueron implacables, a veces enviando más de un correo electrónico al día. En el caso de cerca de la mitad de todos los grupos y campañas nunca consiguieron que ni uno solo de sus correos electrónicos fuera a parar a la bandeja principal.

Los correos electrónicos de los candidatos presidenciales tenían menos probabilidades de terminar en la bandeja de entrada que el resto de los correos electrónicos a los que nos inscribimos: solo el 6% de los correos electrónicos de los candidatos presidenciales terminaron en la bandeja de entrada en comparación con el 9% de otros correos políticos y de promoción, en promedio. Cuando O'Rourke anunció que daba por finalizada su campaña, Gmail envió el mensaje a spam.

A menudo, los correos electrónicos de los candidatos presidenciales terminan en la pestaña de 'promociones'. De hecho, en el caso de algún de ellos, el 90% de las veces. Pennington, el consultor que trabajó en la campaña digital de O'Rourke, indicó que los datos disponibles en ese momento mostraron que muchos menos de los correos que ellos enviaron fueron a parar a la bandeja de 'spam' que los encontrados por nuestra prueba.

“Somos conscientes de que los correos electrónicos van a la bandeja de promociones de Gmail y no nos preocupa nuestra capacidad para comunicarnos con los seguidores”, nos indicó en un correo electrónico Mike Casca, director de comunicación de la campaña de Bernie Sanders.

Miembros de los equipos que trabajaron en la campaña de O'Rourke, Yang, Kamala Harris y Joe Walsh también dijeron que no les había importado que los correos electrónicos que mandaban fueran a la bandeja de promociones. Otros candidatos no respondieron a nuestra solicitud para que nos dieran su opinión o no pudimos contactarlos.

De hecho, incluso los correos electrónicos que enviaron los miembros del Congreso a través de las direcciones oficiales de House.gov, que por ley no pueden ser utilizados para promocionar a un candidato, terminaron en la bandeja de promociones el 25% de las veces.

En sus materiales de marketing, Gmail proporciona ejemplos concretos de qué tipo de correos electrónicos van a la bandeja de promociones: “50% de descuento en Aventura en Kayak”, “20 dólares de descuento en la suscripción”, “Siete Restaurantes Románticos Imprescindibles”. Pero en nuestras pruebas, el criterio para enviar correos a esa carpeta o a la bandeja de entrada fue menos coherente.

Un correo electrónico con el asunto “NUEVO! Hoodies, sweatshirts, beanies” de BernieStore2020 fue a la bandeja de promociones, pero otro anunciando “¡Muchas camisetas nuevas! Hazte con una hoy mismo” de Yang2020 Merch fue a la bandeja de entrada principal.

Un sentido obituario para el compañero Michael Martin Uhlmann del think tank conservador Claremont, que no hacía ningún tipo de llamamiento, fue a promociones. También fueron a esa carpeta los correos que confirmaban el registro correcto de miembros de la organización Texas Young Republicans (Jóvenes Republicanos de Texas) y el New York Young Republicans Club (Club de Jóvenes Republicanos de Nueva York).

Algunos defensores de causas sociales y políticas afirman estar frustrados por la clasificación de correos de Gmail y cuestionan el criterio de la compañía de que los correos políticos “venden un producto”, como implica la palabra “promociones”. Gavin Wax, presidente del New York Young Republican Club, lo expresa de esta manera: “[La carpeta promociones] sitúa nuestros correos a un solo paso del spam”.

Traducido por Emma Reverter.

Cientos de empresas que desarrollan aplicaciones que operan sobre Gmail, el servicio de correo electrónico de Google, han podido penetrar en las cuentas de los usuarios y acceder a sus mensajes personales. Según ha informado este lunes The Wall Street Journal, la práctica de la multinacional estadounidense se ha sostenido durante años y es similar a la que permitió a Cambridge Analytica hacerse con datos personales de usuarios de Facebook y utilizarlos en su beneficio.

En este caso no se ha detectado un uso ilegítimo de la información a la que tuvieron acceso estas terceras empresas. Esos datos incluyen el contenido de los correos, direcciones de los destinatarios y la hora de envío. En algunas ocasiones el escaneo de las cuentas era un procedimiento mecánico, pero en otras fueron incluso los ingenieros de estas desarrolladoras los que tuvieron acceso directo a información personal.

Google no ha emitido ninguna reacción oficial a la información de The Wall Street Journal, pero según ha comunicado a este medio, este tipo de acceso especial se otorgó “con el permiso de los usuarios”. Sobre el acceso de ingenieros humanos a las cuentas personales, ha explicado que solo ha ocurrido en “casos muy específicos en los que se solicita y damos consentimiento, o cuando lo necesitamos por motivos de seguridad, como investigar un error o abuso”.

Estas empresas solicitaban accesos especiales a Google para mejorar la eficacia y usabilidad de sus aplicaciones. La multinacional asegura que no en todos los casos se concedía el acceso, pero no ha informado de cuantas solicitudes ha denegado. Según han explicado fuentes de la compañía al medio especializado en información tecnológica The Verge, para otorgar el permiso el personal de Google supervisaba que la “identidad” de la empresa y la app se corresponden. 

No obstante, cabe destacar que hasta la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos el pasado 25 de mayo, las empresas podían solicitar permisos muy genéricos a los usuarios incluso para acceso extensivo a información personal, como este.

Además, el acceso de terceros a información de grandes empresas no ha sido una práctica exclusiva de Google: recientemente Facebook reconoció que había hecho lo mismo con casi todos los fabricantes de dispositivos móviles, con el supuesto objetivo de que pudieran mejorar la adaptación de la aplicación de la red social a las características propias de cada aparato.

A pesar de que todas las empresas que ofrecen este tipo de servicios en España y Europa a raíz de la entrada en vigor del Reglamento han tenido que renovar las solicitudes y ser mucho más específicos en sus peticiones, todos los usuarios de Gmail pueden comprobar y revocar los permisos que han concedido en cada cuenta para evitar que terceros tengan acceso a su información personal.

“¡¿Pero no has leído mi email?” Si más de una persona importante en tu vida o en tu ámbito profesional te ha dicho esto en el último mes, es que tienes un problema importante de organización o que estás superada o superado por la sobrecarga de tu correo electrónico. En ambas situaciones, es imperativo para ti organizar la bandeja de entrada para no perder emails importantes que, de no ser leídos, pueden causar trastornos tanto en tu trabajo como en tu vida social.

A petición de Ignacio, un socio de eldiario.es, ofrecemos diez consejos sobre Gmail para que puedas ordenar la avalancha de nuevos emails y no se te escape ni uno de los realmente importantes. 

1. Decide qué mensajes quieres ver primero en la bandeja de entrada

En Gmail tienes la opción de ordenar la bandeja de entrada según una serie de criterios, como ver primero los emails de las direcciones que te escriben con más frecuencia, o bien ver aquellas a las que sueles contestar más, o los mensajes que alguna vez has clasificado como importantes, los que tu correo juzga como prioritarios, etc.

También puedes ver primero los que no han sido leídos según vayan entrando. Esta última opción es la que te puede crear una mayor confusión, por lo que es la menos recomendable cuando el flujo de entrada es alto. Cualquiera de las otras, si las puedes configurar, te serán más útiles.

2. Si usas las pestañas en tu bandeja de entrada, edúcalas

Puedes configurar la bandeja de entrada de Gmail con pestañas temáticas. Si lo haces, tienes muchos puntos ganados para poder organizarte mejor. Es aconsejable que predetermines tu bandeja de modo que los mensajes se estructuren así. De este modo se expondrán por separado los mensajes personales, los de redes sociales, las notificaciones profesionales, las promociones y los foros, donde irán toda suerte de boletines o listas de correo.

Por lo general, es el servicio quien determina a qué pestaña debe ir cada mensaje, de modo que deja la bandeja de entrada principal sólo para los que juzga importantes. Pero no siempre acierta y a veces esta se acaba llenando de mensajes intrascendentes que crean ruido visual.

Es posible educar a nuestras pestañas arrastrando un mensaje desde la bandeja principal a la pestaña que le corresponde según nuestro criterio, y ordenando que los mensajes de determinada dirección siempre vayan ahí. 

3. Crea etiquetas temáticas

En el menú lateral de Gmail se pueden crear etiquetas que nos permiten después arrastrar mensajes a ellas. De este modo, si queremos guardar un mensaje importante que acabamos de recibir, lo podemos arrastrar a una de estas carpetas temáticas, donde después podremos volver sobre él. 

4. Crea filtros por direcciones

Aprovechando que hemos creado nuestras etiquetas temáticas, Gmail nos permite, desde el apartado de 'configuración', crear filtros por direcciones remitentes y automatizar su envío a una determinada etiqueta. Así, podemos crear etiquetas para las personas importantes, o para las facturas, por ejemplo, de modo que cuando nos escriban desde sus direcciones preferentes, queden automáticamente guardados en la carpeta correspondiente, que siempre podremos consultar. 

5. Crea filtros por palabras

Otra opción que tienes disponible es crear filtros por palabras que aparezcan en el asunto del mensaje, o por el mensaje completo, y hacer que vayan a una determinada etiqueta, con lo que te será más difícil que te pase inadvertido un determinado email que juzgues prioritario.

6. Determina qué direcciones no enviar nunca a spam

Cuando creas un filtro para determinadas direcciones o por palabras, en Gmail puedes marcar que no se envíe nunca a spam, con lo que sorteas, al menos en teoría, el peligro de que un mensaje importante se cuele en spam por un error del sistema.

7. Aplica un color a cada etiqueta

También desde la opción de crear etiquetas, disponemos de la alternativa de aplicar un color a cada etiqueta. Una vez creada la etiqueta, nos ponemos sobre ella y con el botón derecho abrimos un menú en el que nos aparecerá la opción de elegir el color. Automáticamente se aplicará este color a todos los mensajes de la etiqueta. Esto nos permitirá ver rápidamente en el buzón de entrada a qué etiqueta está asignado cada email que nos llega. 

8. Usa las estrellas para determinar los correos importantes

Otra opción disponible es la de marcar con una estrella los correos importantes, para poder después volver a ellos con facilidad a través de la correspondiente etiqueta, que el servicio crea por defecto. De modo paralelo, el sistema asimila los remitentes de estos correos como prioritarios y los colocará en la pestaña de correo principal, que es la que vemos por defecto. A este respecto, conviene señalar que es importante mirar de vez en cuando en el resto de pestañas para ver que no se cuela un mensaje importante en ellas.

9. Date de baja de todos los boletines que no consultes semanalmente

Promociones, puntos, servicios de cupones, boletines de diferentes páginas web, etc. Debemos decirdir si nos interesa conservarlos o no. De vez en cuando nos pasaremos por el buzón y detectaremos aquellas 'newsletter' a los que estamos suscritos y nunca consultamos para darnos de baja y así limpiar la bandeja de entrada de ruido visual.

10. Mira una vez al día la carpeta de spam

A veces algunos mensajes importantes quedan clasificados como spam. Es muy raro, pero no descartable. No está de mas que te des un garbeo diario por esta carpeta para asegurarte de que se ha colado algo que no debe estar allí. 

Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines

suscríbete a nuestros boletines

Más de un millón de cuentas de Gmail y Yahoo se venden en la deep web. Las ha puesto a la venta un usuario que se hace llamar SunTzu583 desde 10,75 dólares cada una. Unas 100.000 credenciales de Yahoo pertenecen al portal Last.FM, del que en septiembre del año pasado fueron robadas 43 millones de cuentas de usuarios.

Todas contienen nombre de usuario, direcciones de correo y contraseñas en texto plano. El hacker que las vende es consciente de que no es el único que posee los datos, así que por eso las está ofertando desde un precio tan bajo. Otro pack puesto a la venta por el mismo usuario oferta otras 145.000 cuentas, también de Yahoo, por 13,75 dólares. En el caso de estas cuentas, Hackread cuenta que pertenecerían a dos brechas de seguridad diferentes, la de MySpace (2008) y la de Adobe (2013), de donde fueron extraídos 360 y 153 millones de credenciales, respectivamente.

Cerca de medio millón de cuentas de Gmail también han sido puestas a la venta por SunTzu583, cada una de ellas por 28 dólares. Pertenecen a tres brechas de seguridad: la del Bitcoin Security Forum (2014), MySpace (2008) y Tumblr (2013). Junto a ella, otra lista más ofertada por el mismo usuario revela los datos de 450.000 cuentas desde 25 euros.

Los datos de acceso de las cuentas Yahoo y Gmail pertenecen a brechas de seguridad que tuvieron lugar entre 2010 y 2016. Para saber si hemos sido hackeados o nuestro email se encuentra en alguno de estos paquetes (ya sea en este o en otros), en las páginas HaveibeenPwned y Hacked-DB se puede confirmar la información.

Si hace poco hablábamos del ransomware Spora, capaz de secuestrar el ordenador y de ofrecer protección ante futuros ataques por unos cuantos bitcoin, hoy le toca el turno a la campaña de phising de Gmail más sofisticada de los últimos tiempos. Han sido los expertos de seguridad de Wordfence quienes dieron el aviso la semana pasada, pero Google no se ha pronunciado hasta este miércoles.

Los atacantes han ideado una campaña simple pero eficaz. El usuario recibe un correo de una cuenta que haya sido infectada en otro ordenador. En el cuerpo del mensaje no pone nada, pero el adjunto se asemeja a un .pdf que en realidad no lo es: se trata de una imagen adjunta que, al pinchar en ella dirige hasta la web de phising, una idéntica a la que solicita el usuario y la contraseña en Gmail.

La única forma de saber que estamos siendo engañados es mirar la barra de dirección. Si la víctima no se da cuenta de que la URL es falsa y no cuenta con protocolo de seguridad alguno (no lleva el https:// delante de la dirección), al introducir sus credenciales estará comprometiendo su cuenta sin querer. Los investigadores de Wordfence dicen que los atacantes “entran en tu cuenta tan pronto envías los datos. Podría estar automatizado o contar con un equipo pendiente”.

Una vez que los hackers han entrado a la cuenta, tienen acceso a todas las bandejas y a las direcciones de contactos. El problema no termina ahí ya que, una vez que saben que la contraseña de tu cuenta de Gmail es “password” o “123456”, la probarán también en el resto de servicios asociados e incluso en Facebook o Twitter.

Ante el phising, buena vista

phisingLos atacantes utilizan una técnica que se conoce como “URL de datos”, en la que se se incluye la dirección de un archivo en la barra de dirección. Sin tocar el código, quedaría una dirección muy larga y eso precisamente es lo que los hackers han conseguido ocultar insertando espacios en blanco. Así que, técnicamente, lo que se abre es un archivo y no una dirección web.

Para evitar caer en el ataque de phising, desde la firma de ciberseguridad recomiendan revisar siempre que no haya nada entre el https:// y la dirección account.google.com. También, activar la verificación de dos pasos de Google.

Por su parte, la empresa de Sergei Brinn y Larry Page ha emitido un comunicado en el que aseguran tener “conocimiento de este hecho” y continuar “reforzando nuestras defensas contra ello”.

No sabemos si era algo que tenía que ocurrir o algo inevitable que pasara. El día D, mejor dicho, el año D estaba marcado en rojo en el calendario por “los malos” y era este 2016. Hace apenas un par de años nadie, salvo los más especializados en el tema, sabía lo que era una botnet: en octubre todo el mundo se enteró cuando Facebook se cayó, su Twitter no entraba o su correo se bloqueó. La culpa fue de una red de dispositivos zombis.

Este año ha sido el año de los grandes hackeos. Ni las grandes empresas de Internet han sabido hacerles frente. Se han dado casos sonados y trascendentales que resultaron con la pérdida total de confianza en algunas compañías, llegando incluso a ser denunciadas. Hablamos de Yahoo, por supuesto.

2016 también ha sido la fecha que dio rienda suelta a los ataques a teléfonos móviles, a ese amplio género llamado malware y al ransomware en especial, este último un troyano que secuestra el ordenador o cierta información y pide después un rescate.

Para terminar, hay que destacar un tema sobre todos por las consecuencias que ha tenido y las (aún) mayores implicaciones que hubiera acarreado de haberse hecho realidad. El caso Apple vs. FBI copó titulares y portadas de la muchas cabeceras extranjeras y en eldiario.es seguimos el devenir de la historia con profundo interés. Esta es nuestra selección de 2016.

1. El año del malware

malwareSolo en 2015, Kaspersky detectó más de tres millones de paquetes de instalación malignos para móvil y 885.000 programas de malware. Hummingbad era uno de ellos y llegó a infectar hasta a 10 millones de teléfonos. Como Gooligan: este malware incluso llegó a robar más de un millón de cuentas Google. Ambos tenían denominación de origen china, el mismo país que instaló un software en cerca de 700 millones de teléfonos para enviar datos al gobierno de Xi Jinping.

2. El caso Apple vs. FBI

Fue uno de los temas del invierno. Desde eldiario.es seguimos la historia con el mayor interés: y es que el mundo estuvo a punto de presenciar el precedente legal que permitiese al FBI entrar a todos los iPhone. Los federales le pidieron a la compañía de la manzana mordida crear un software que se saltase la protección y las claves de bloqueo del teléfono de un terrorista, a lo que en Cupertino se negaron. Y el caso ni si quiera se resolvió en los tribunales porque el FBI se retiró antes de que el juez dictara sentencia. La agencia del gobierno finalmente tuvo que pagar un millón de dólares a una empresa misteriosa de la que nada sabemos.

3. La seguridad de los bancos se tambaleó

El malware en móviles sube, el ransomware para bancos también. Una encuesta de IBM entre 600 negocios y 1.000 empresarios de los EEUU detectó que el 70% habían sufrido este tipo de ataques y, peor aún, habían pagado por ser rescatados. Este año hackearon la base de datos del banco de Qatar, que afectó a más de 100.000 cuentas; robaron del banco de Bangladesh 81 millones de dólares; y el año pasado, los bancos de Vietnam y Ecuador sufrieron el robo de 1,1 y 12 millones de dólares respectivamente. Ante esta situación nos preguntamos si los bancos eran seguros y hablamos con un experto en seguridad que nos contestó.

También hicimos una clasificación del tipo de hackers que pueden llegar a cometer estos delitos. Según sean buenos, malos o menos malos, se dividen por sombreros: blancos, negros y grises.

4. Hackers y redes sociales

Este año han sido muchas las redes sociales que han visto cómo sus fallas de seguridad les hacían convertirse, una vez más, en un coladero. LinkedIn, Tumblr, MySpace, Google y un largo etcétera han sido hackeados. Por eso nos pusimos en contacto con varios expertos y les preguntamos qué hacen los hackers con los datos, cuántos cuestan esos datos, dónde los venden y a quién.

5. Ositos de peluche o microondas zombis

Lo explicábamos en la introducción. Hasta hace muy poco, no había mucha gente capaz de explicar qué era una botnet. Tampoco habían oído hablar de ella. Fue el pasado octubre que una red de microondas, frigoríficos, webcams y más objetos conectados al Internet de las Cosas (IoT en inglés), atacaron a Netflix, Facebook, Twitter y los tumbaron. 11 horas duró el ataque que apagó a medio mundo. Podrían haber sido incluso ositos de peluche: y es que una nevera conectada a Internet quizá sea el último grito para la cocina, pero la seguridad de estos dispositivos aún está en pañales.

6. Yahoo y Gmail suspenden en seguridad

Fueron tres golpes: primero 270 millones de cuentas, luego 500, después mil. La seguridad de Yahoo viene estando en entredicho desde mayo, cuando los primeros hackeos ocurrieron. La última brecha de seguridad la hemos conocido hace poco: 1.000 millones de credenciales de Yahoo que componen el mayor robo de datos en la historia de Internet. Por el camino, 24 millones de cuentas de Gmail, 33 de Hotmail o 57 de Mail.ru, el principal proveedor de correo ruso.

7. El enésimo malware: esta vez en tu router

malwareAunque el DNSChanger alcanzó su pico de infecciones hace cuatro años, ha vuelto a reactivarse. El virus es capaz de cambiar el DNS del router haciendo que nos redirija a sitios webs no seguros, falsos, de phising. También infecta al resto de dispositivos que estén conectados a él. Los que han reactivado el virus lo han combinado con un exploit escondido en los banners de algunos sitios webs, haciendo que nos infectemos por partida doble.

8. Penthouse no es tan privado

Si hace un año fue famoso el robo de Ashley Madison, este año toca Penthouse. Todo partió de un fallo de seguridad de la web Adult Friend Finder, que administra la página porno junto a otras. En total fueron 400 millones de cuentas, aunque “solo” se vieron afectados siete millones en Penthouse.

9. La nube de Dropbox no segura

Primero recomendaron cambiar las contraseñas a todos los usuarios, una semana después supimos que les habían hackeado. Dropbox también se unió al club a finales de agosto de este año con 68 millones de cuentas robadas y preparadas para ser vendidas en la Deep Web. No era la primera vez que el servicio de almacenamiento en línea tenía problemas: en 2011 se pudo acceder durante cuatro horas a cualquier cuenta de la plataforma utilizando, literalmente, cualquier contraseña.

10. LinkedIn: muy poco profesional

Terminamos el repaso de los hackeos más importantes de este año con LinkedIn, la red profesional para buscar empleo que vio cómo en mayo, 100 millones de cuentas eran puestas a la venta en la Deep Web por el irrisorio precio de 2.000 euros. Sin embargo, el hackeo viene de largo: hace cuatro años la empresa dijo haber sufrido el robo de 6,5 millones de cuentas, dato que en 2016 confirmamos. Y es que no fueron 6,5 millones, sino 100 millones.

Mientras tanto, un niño de 10 años hackeaba Instagram y Mark Zuckerberg, el CEO de Facebook, le obsequiaba con 10.000 dólares...

Bonus track: el hackeo al DNC

Bonus trackAún hoy seguimos teniendo noticias del hackeo ruso al servidor del Comité Nacional Demócrata. Los hechos ocurrieron a finales de julio de este año y fueron filtrados por Wikipedia. Sirvieron para dos cosas. La primera: poner de manifiesto la (poca) seguridad del servidor de los demócratas y la segunda, para remover y desestabilizar la cohesión interna del partido de Hillary Clinton. Se dijo que los hackers habían intentado favorecer al ahora presidente electo de los EEUU, Donald Trump.

Tumblr ha sido la última gran compañía de Internet en reconocer que su seguridad ha fallado. Lo hizo público a comienzos de este mes, en un comunicado donde reconocía que una “tercera parte” obtuvo acceso a principios de 2013 a las direcciones de email y las contraseñas de los usuarios. Aunque no todos los 170 millones de cuentas de la compañía de David Karp -en posesión de Yahoo desde mayo de ese año- están afectadas, los analistas estiman que entre 65 y 68 millones fueron hackeadas. Tumblr cuenta que eso pasó hace tres años, pero que lo han sabido ahora. Las credenciales se encontraban ayer a la venta en The Real Deal -un sitio de la deep web- por 150 dólares.

En 2012, alguien entraba a la base de datos de LinkedIn y se hacía con la información de cerca de 117 millones de cuentas. La red social profesional lo reconoció hace dos semanas. A pesar de que en el momento del hackeo la empresa entonó el mea culpa y publicó que unos 6,5 millones de perfiles habían sido comprometidos, cuatro años después hemos sabido que no eran seis, sino más de 115 millones los usuarios cuyos datos de acceso estaban en posesión de uno o varios hackers. El autor del robo pedía cinco bitcoin -unos 2.000 euros- a cambio de la información, que también vendía en The Real Deal.

La que una vez a punto estuvo de convertirse en Facebook y que ostenta el honroso título de ser la red social más visitada de 2005 a 2008, MySpace, también había sido hackeada. El escaparate predilecto de aquellos millenials vio, hace tres años, cómo los datos de acceso de 427 millones eran publicados en la Red. Una vez más, las credenciales se pusieron a la venta en The Real Deal y, al igual que en el caso de LinkedIn, la base de datos LeakedSource publicó una lista de las más utilizadas por los usuarios. Una de sus conclusiones fue que ni password1 ni 123456 son las contraseñas más seguras.

Antes de saber nada acerca del mayor robo de credenciales en la historia de Internet -MySpace- o de tener constancia de la empanada de LinkedIn en los cuatro años siguientes, un hacker ruso hacía de las suyas. Era a principios de mayo cuando The Collector -el nombre en clave que utilizó- ponía en venta 272 millones de cuentas Gmail, Yahoo, Hotmail y mail.ru por 50 rublos. Lo que al cambio son unos 60 céntimos de euro. Aunque Alex Holden, un experto en ciberseguridad, dijo que lo descubrió antes de que el ruso hiciera nada, no podemos estar seguros de que la información no llegara a filtrarse. “Son datos robados disponibles para su venta”, decía Holden a Reuters.

Un mercado organizado

Vender datos da dinero. Cuando hackearon Verizon pidieron 100.000 dólares por el pack entero y 10.000 por algunas partes. Elena García, responsable de contenidos e investigación en seguridad del INCIBE, sabe que la información, así como un poder, también puede ser un negocio: “Sin duda. Pero no estamos diciendo nada nuevo, llevamos mucho tiempo pensando en eso”. Los hackers comercian con la información que roban, “todo depende de la inteligencia que le pongan”, dice. Y pone un ejemplo: “A través de ir recopilando información, tú no dejas de ir definiendo un determinado perfil a quien atacar para llegar a su empresa por ejemplo, ya sea por una cuestión de espionaje industrial o de robo de propiedad intelectual”.

“Hay un montón de estudios de tarifas medias de cuánto vale un número de tarjeta de crédito con pin, un número de tarjeta de crédito con pin y con CVV; o cuánto vale un buzón de correo, un nombre y unos apellidos...”, continúa Elena. Computing se hacía eco de un estudio de McAfee en octubre del año pasado que ponía de manifiesto que este comercio existe en la deep web, y desde hace muchos años. “El precio medio de una tarjeta de crédito en EEUU va desde los 5 a los 30 dólares y en Reino Unido desde los 20 a los 35 dólares”.

Los datos robados valen más. Es ese el momento cuando pasan a convertirse en activos. Los casi 120 millones de cuentas de los usuarios de LinkedIn han estado al aire cuatro años. A diferencia de un bien que pueda devaluarse con el paso del tiempo, los datos no lo hacen sino por la cantidad de veces que son vendidos en la Red: “Esa información es un activo que sigue teniendo su valor. Si está disponible es porque alguien paga por ello, sigue siendo oro al fin y al cabo; aunque sea dos años después”, dice Elena.

Datos que se compran “una y otra vez”

Troy Hunt, director regional de Microsoft en Australia y desarrollador de seguridad en la misma compañía cuenta a este diario que “este tipo de hackeos existen desde hace muchos años, no son el reflejo de ninguna técnica nueva”. Sin embargo, Hunt menciona algo que intriga. En varios de los ejemplos antes mencionados, el robo de datos se produjo hace tres o cuatro años. “Los datos que vemos a la venta son comprados una y otra vez y también hemos comprobado que el precio cae según se extiende [la operación en el tiempo]”. The Collector vendía por 50 céntimos de euro la información de 272 millones de cuentas de correo.

Al igual que un banco opera con divisas, los ciberdelincuentes lo hacen con los datos que sustraen. Datos que luego se intercambian entre sí o que, incluso, podrían llegar a vender a empresas. “Pudiera ser. Ahí el oscurantismo o el misterio de hasta qué punto el marketing personalizado que nos hacen llegar se apoya solo en información que nosotros hemos aportado libremente”, dice Elena.

¿Es la nueva gallina de los huevos de oro el robo masivos de datos en Internet? Aunque la investigadora contesta un rotundo “sí” al otro lado del teléfono, Hunt se muestra más escéptico y apunta al pasado truculento de los ciberdelincuentes que sustraen esos datos: “Les motivan varios factores; a veces es como protesta por lo que la página web hace, otras obedecen a razones comerciales y otras veces, simplemente, lo hacen 'porque pueden'”. Elena tranquiliza: “No hay motivos para desconfiar de nuestros prestadores de servicios de confianza”. E ironiza: “A priori hay que pensar que el mundo es bueno”. Pero solo a priori.

Una compañía estadounidense de ciberseguridad asegura que un hacker ruso se ha hecho con la información y las credenciales de acceso de más de 272 millones de cuentas de correo. Entre los proveedores afectados se encuentra el gigante Gmail, así como Yahoo y Hotmail. Sin embargo, el más perjudicado es Mail.ru, el servicio de correo más popular en Rusia. “Tan pronto como tengamos suficiente información avisaremos a los usuarios que se hayan podido ver afectados”, ha dicho la plataforma de email rusa en un comunicado.

La información la cuenta Reuters este jueves. Alex Holden, experto en ciberseguridad y fundador de Hold Security, dio el aviso a la agencia de noticias. Por tamaño, los millones de cuentas robadas representarían uno de los mayores fallos de seguridad de los últimos tiempos, con permiso de los ciberataques que sufrieron los principales bancos estadounidenses hace dos años.

Una portavoz de Microsoft ya ha dicho a Reuters que “Microsoft tiene medidas de seguridad suficientes para detectar cuándo una cuenta ha sido comprometida y requerimientos adicionales de información para verificar al propietario de la cuenta y ayudarle a restaurarla”. Google y Yahoo, por su parte no han hecho aún ninguna declaración al respecto.

Holden asegura que unas 57 millones de cuentas de Mail.ru han sido hackeadas, así como 40 millones de Yahoo mail, 33 millones de cuentas Hotmail y cerca de 24 millones de Gmail. Además, unos 42 millones y medio de las credenciales nunca habían sido filtradas antes. The Inquirer añade que no solo hay datos de acceso a las cuentas. Holden también habría descubierto que el hacker ruso filtró millones de nombres de usuario y contraseñas de empleados de varios bancos de los EEUU y grandes empresas.

Trueque: datos por buena reputación

“Esta información es potente. Está flotando sobre nuestras cabezas y esta persona nos ha demostrado que va a darle los datos a gente que le caiga bien. Estas credenciales pueden ser explotadas miles de veces”, dice el fundador de Hold Security a Reuters. Cuenta que descubrió al hacker ruso en un foro utilizando el sobrenombre de The Collector -El Recolector- y presumiendo de la información que tenía. La vendía por 50 rublos -unos 60 céntimos de euro-.

Según Reuters, Holden convenció al chico para que le cediese los datos gratis. A cambio, su compañía se ha comprometido a poner comentarios favorables sobre el hacker ruso en foros y páginas web relacionadas con el hacking. La empresa de ciberseguridad pretende devolver los datos y credenciales a todas las empresas que se han visto afectadas por el robo masivo. “Estos son datos robados que están disponibles para la venta”, sentencia Holden.

Para celebrar el Día del Internet Seguro, que fue el pasado martes, Google ha anunciado la introducción de una medida para ayudar a los usuarios a determinar si el correo que están leyendo se envió desde una conexión segura o no. “Gmail siempre ha cifrado los correos utilizando el protocolo TLS, y seguirá haciéndolo automáticamente cifrando tus correos entrantes y salientes”, dice la compañía en su blog.

Desde Gmail aseguran que ellos siempre cumplen con las normas de autentificación para evitar suplantaciones de personalidad en los correos y otros problemas. Pero “como requiere de dos personas por lo menos enviar y recibir un email -cuentan-, no todos los servicios de correo cumplen esas normas”. Así que han incluido dos medidas para que los usuarios estemos más tranquilos cada vez que leemos o enviamos un mensaje a una dirección no conocida.

Un candado que vela por el TLS

Por un lado, han añadido un pequeño icono en forma de candado abierto en la esquina superior del mensaje que recibamos y sea considerado como sospechoso. Si el servidor de correo de la otra persona no soporta el protocolo TLS, Gmail se lo advertirá al usuario. También lo hará antes de enviar un correo. La compañía anunció recientemente que los usuarios activos de Gmail en todo el mundo habían sobrepasado la cifra de los mil millones.

La importancia del cifrado en las telecomunicaciones es uno de los aspectos más urgentes de la Red. Es la única manera de evitar que los paquetes de información sean intervenidos, modificados y hasta robados por un tercer interlocutor -o varios- que no estaba previsto en el intercambio de datos. Hace tiempo que Google cambió del protocolo HTTP al más seguro HTTPS, lo que significa que todo bajo su paraguas está protegido por una clave criptográfica. Pero como ellos mismos dicen, no pueden velar por lo que otros hagan o dejen de hacer.

Sospecha del interrogante

Además, Google asegura que ha incluido otra medida de seguridad para todos aquellos correos que no puedan ser autentificados. “Verás un símbolo de interrogación en el lugar donde debería estar la foto de perfil de la otra persona, su logo corporativo o su avatar”, dicen. Si un mensaje no puede ser autentificado significa que Gmail no puede identificar si el que envía ese mensaje es una cuenta de spam, un atacante o un correo para sustraer el número de tu tarjeta de crédito.

Estas dos medidas no significan que todos los mensajes que se presenten bajo estas dos condiciones sean maliciosos, aunque sí nos advierte de que deberíamos extremar la precaución. Y tampoco significa que los correos de Gmail sean ahora más seguros que antes. Para asegurarse de la privacidad de sus comunicaciones, los datos tienen que viajar cifrados de manera continua y completa desde el ordenador emisor del mensaje hasta el receptor del mensaje. Los usuarios de Gmail tendrán que usar un cliente de correo y generar su propia clave criptográfica para estar seguros de que nada ni nadie lee sus correos. Aunque el cifrado no impide que se sepa quién envía y quién recibe la información -para eso está Tor-, al menos obliga a los fisgones a descodificar la información, un proceso extremadamente difícil y cansino que puede llevar años.

En otro orden de cosas, la compañía fundada por Serguéi Brinn y Larry Page anunció también que ampliaría en 2GB la capacidad de Google Drive a todos los usuarios. Paradojicamente, los expertos en seguridad recomiendan no utilizar servicios relacionados con la nube para guardar documentos, fotografías o efectos personales, por muy digitales que sean.

Nacido en junio de 1978, Garfield supo convertirse en todo un icono felino mucho antes de la llegada de los GIF y los vídeos de YouTube. Su universo ha crecido sin parar en estos cerca de cuarenta años. Más allá de las viñetas creadas por el dibujante estadounidense Jim Davis, este gato naranja ha protagonizado series de televisión, videojuegos y un par de películas. Sin olvidar, claro, las toneladas de tarjetas de felicitación en las que aparece o el sinfín de tazas, camisetas y otros productos de ‘merchandising’ que protagoniza.

Lo que la mayoría desconoce es que Paws, la compañía creada por Davis y propietaria de los derechos del personaje, también creó su propio servicio de correo electrónico a finales de los años 90. Se llamaba GMail. Poco antes de que Google anunciara su herramienta, aquella denominación estaba en manos de un amante de la lasaña que odia los lunes con todas sus fuerzas.

No es una leyenda urbana de esas que circulan por la Red sin pruebas que las corroboren. Hay pocas evidencias, pero la prodigiosa memoria de Internet Archive permite recuperar la pantalla de acceso al servicio, que habría estado activa al menos entre 1997 o 1998 (antes incluso de que se fundara Google) y comienzos del año 2001.

Un par de campos para introducir usuario y contraseña, el clásico formulario de registro y un menú de navegación componen la sencilla interfaz de aquel GMail, protagonizada por un Garfield disfrazado de cartero. El 'webmaster' de Paws se olvidaba así de Herman Post, el repartidor de correo al que el gato hacía la vida imposible en la serie.

En 2001, Paws hizo mudanza. “Este es un aviso importante en relación con su cuenta de GMail”, se anunciaba entonces en la web de Garfield. La empresa se veía obligada a cambiar de proveedor y comenzaba a ofrecer un nuevo servicio de correo: e-garfield.

“Nunca fuimos propietarios del dominio gmail.com”. Esto es todo lo que respondieron desde Paws cuando HojaDeRouter.com se puso en contacto con la empresa para preguntar por el servicio de correo. Es rigurosamente cierto. De hecho, aunque en la Red pueda leerse que Google ofreció una importante suma de dinero para hacerse con Gmail, la realidad es bien distinta.

Un simple vistazo a la barra de direcciones en la página de acceso al GMail de Garfield sirve para confirmar que “gmail” se utilizaba como un subdominio de garfield.com (gmail.garfield.com), además de como nombre del servicio.

El dominio que más tarde estaría en manos de Google (gmail.com) era propiedad en aquellos compases previos al inicio del siglo XXI de una compañía llamada US Email que se dedicaba, precisamente, a ofrecer cuentas de correo electrónico, desde “@cabo.com” hasta “@themoon.com” pasando por “@gmail.com”.

Con el tiempo, US Email desapareció. El 1 de abril de 2004, Google lanzaba la versión 'beta' de su propio servicio de correo electrónico. Sin rastro de pelos gatunos, pero aún con cierto olor a lasaña, Brin y Page seguían de alguna manera la senda de Garfield.

Aunque ya no es posible tener una cuenta de GMail con su sello, los amantes del personaje creado por Jim Davis aún pueden tener uno de sus correos electrónicos. Con dominios tan propios de Garfield como “@ihatemondays.net” o “@borntosleep.net” (“odio los lunes” y “nacido para dormir” en castellano), Paws sigue ofreciendo un servicio de ‘email’ provisto por la compañía británica My Brand Email. Si alguno de esos nombres se convierte en una futura herramienta de Google, no quedará duda alguna: el verdadero gurú de internet es Garfield.

------------------

La imagen principal de este artículo es propiedad de Wikimedia Commons

Hasta el momento quienes usan servidores de correo online (webmail) como Gmail o Yahoo y quieren añadir una capa adicional de protección a sus comunicaciones tienen que recurrir a plugins externos como Mailvelope que permiten cifrar el contenido de los correos electrónicos con el servicio PGP de criptografía con clave pública o incluso aventurarse en el uso de herramientas que en un principio pueden parecer complejas de instalar y usar –como Tails. Estos dos grandes del correo electrónico web llevan ya meses trabajando en sus propias extensiones de cifrado de extremo-a-extremo.

El deseo de Google es hacer el cifrado de extremo-a-extremo “más fácil de usar”, tal y como señalaba Stephan Somogyi, jefe de producto, seguridad y privacidad de la corporación estadounidense en el blog corporativo del equipo con motivo de la migración del código fuente de la versión alpha del plugin a la plataforma de verificación de código software GitHub. Casi un año más tarde coincidimos con él durante el transcurso de Re:publica 2015 –la mayor conferencia europea de Internet y Sociedad en red celebrada en Berlín– y puntualiza: “nuestra prioridad es primero hacer un servicio seguro y en segundo lugar algo fácil de usar, pero no al revés”.

Esa solución se llama End-to-End, la futura extensión de Chrome construida sobre una criptolibrería de nuevo diseño basada en JavaScript, que ayudará a cifrar, descifrar, usar firmas digitales, y verificar mensajes dentro del propio navegador usando OpenPGP –el estándar abierto para cifrado más extendido y que a su vez derivó originalmente del PGP creado por Phil Zimmermann en 1991—.

Como formato estándar, este lleva funcionando desde hace más de dos décadas, si bien “a lo largo de los años se han ido encontrando muchos errores, errores que ahora sabemos son clave, como por ejemplo: la gestión de llaves, su distribución, etcétera”, apunta el ingeniero de sistemas. Motivos que identifica como factores responsables de la baja adopción de este sistema por parte de los usuarios.

Un 'key server' propio que rompe con el modelo 'web-of-trust'

En el sistema PGP, para que el intercambio de mensajes cifrados sea posible, es decir, que emisor y destinatario puedan cifrar y descifrar respectivamente el mensaje, es necesario que hayan intercambiado previamente sus claves públicas. Para facilitar este intercambio, existen servidores de claves PGP externos, que funcionan como almacenes de estas particulares 'llaves', que a su vez están ligadas a las claves privadas de sus respectivos usuarios y que permiten abrir el correo cifrado.

Según Somogyi, contar con un servidor de claves propio “permitiría a nuestros clientes hacer backups de claves, encontrar claves de otros usuarios y hacer las claves disponibles al 'mundo exterior' –como ya anunciamos estamos colaborando con Yahoo para que sus usuarios y los usuarios Gmail puedan intercambiar claves”.

El responsable de Seguridad y Privacidad de Google se refiere a la alianza a la que han llegado ambas compañías con un fin común: incrementar el uso y la usabilidad de la criptografía. Como adelantaba el pasado año Alex Stamos, Jefe de Seguridad de Información de Yahoo, con motivo del anuncio de los planes de la compañía de seguir los pasos de su competidor en lo que respecta a cifrado de extremo-a-extremo: “esto significa que no sólo los usuarios de Yahoo Mail podrán comunicarse de forma cifrada con otros usuarios de Yahoo Mail, sino también con usuarios de Gmail y en un futuro con otros sistemas de correo electrónico que adopten metodologías similares”.

Pero no sólo eso, Google está optando por un “novedoso enfoque” con este prototipo de key server, ya que “rompe” con el actual modelo web-of-trust de confianza distribuida, apostando ahora por un sistema centralizado para autentificar las identidades entre usuarios –apunta Bill Budington, ingeniero de sistemas de la Electronic Frontier Foundation.

Actualmente, lo normal es que un usuario se descargue la clave de otro usuario a través de uno de los múltiples servidores de claves que existen, y luego compruebe si esa clave es la correcta leyendo una larga cadena de cifras y letras, la cual es una representación de sus claves en formato extraído. Si la clave es correcta, les asegura que cuando se manden mensajes cifrados, nadie más podrá descifrarlos. Esta comprobación manual y descentralizada es un proceso bastante laborioso, por lo que desde hace tiempo la comunidad de desarrolladores web investiga la forma de facilitar el proceso.

“Esto es una victoria en términos de usabilidad, ya que todo ese proceso sucede entre bambalinas sin que el usuario intervenga. Aunque todavía no está claro cuán comparable es la seguridad de este sistema con respecto a la del tradicional, la verificación de claves manual, ya que aún no ha sido ampliamente implementado ni auditado”, subraya Budington.

Liberación del código fuente en GitHub

Tal vez por ello, y tras varios varios meses sin novedades, sigue siendo una incógnita cuándo estará lista la versión no-alpha del plug-in. En el post del blog de Google mencionado anteriormente expresaban su deseo de “tener una End-to-End mucho más desarrollada para 2015”, sin embargo, fuentes corporativas consultadas para la publicación de este artículo, insisten en que éste sigue siendo un “proyecto pequeño, que en el futuro será una extensión de Chrome pero que todavía no existe”.

Por su parte, Yahoo, que también anunció el pasado año que empezaría a ofrecer a sus usuarios la opción de cifrado extremo-a-extremos en 2015, difundía el pasado mes de marzo un vídeo demo –que recogía en el propio Stamos en una entrada del blog – mostrando cómo será el funcionamiento del cifrado de correos electrónicos de Yahoo Mail con la extensión Chrome e2e, en comparación con la Pretty Good Privacy a través de la herramienta GPGtools.

Durante la conversación en Berlín, Somogyi mantiene la hermeticidad habitual de la casa y no se aventura a adelantar aún una fecha concreta de lanzamiento para la versión oficial. “Poner artificialmente una fecha no sería bueno en términos de calidad. No podemos permitirnos ofrecer un servicio destinado a gente que realmente lo necesita por cuestiones de seguridad, como periodistas o defensores de los derechos humanos, sin tener todas las garantías de que será seguro”.

“Inicialmente teníamos el código en nuestro propio repositorio, en el mes de diciembre lo migramos a GitHub, precisamente porque queríamos contar con la participación de la comunidad, para asegurarnos que revisaría el código y sí, se encontraron algunos bugs de seguridad que se han resuelto”.

Por sorprendente que pueda resultar que una gran corporación como ésta comparta el código fuente de uno de sus futuros productos, lo cierto es que no es tan inusual, de hecho, el emporio que dirige Larry Page cuenta con un Programa Recompensa para Vulnerabilidades que ofrece compensaciones económicas por descubrir fallos de seguridad en el código de los servicios de Google web, Youtube y Blogger.

“Nada garantiza que si se abre un código vaya a mejorarse –matiza el que fuera anteriormente Director de productos de PGP Corporation—, el open source permite que sea haga auditable pero no garantiza la seguridad, si eso fuera así no habrían existido Heartbleed, Poodle y otras tantas vulnerabilidades; de modo que el código abierto es necesario pero no suficiente en lo que respecta a ciertos aspectos críticos de la seguridad”.

“En Google confiamos plenamente en nuestra capacitación como ingenieros, por eso hay cosas que no hacemos open source, y para las que contamos con procesos internos que son de sobra suficientes para garantizar la seguridad”, aclara Somogyi.

“El hecho de que End-to-End sea un proyecto de código abierto y que su proceso de desarrollo sea transparente debería reconfortar a aquellos usuarios preocupados por la seguridad y fiabilidad del software, pero el hecho de que se desarrolle en abierto no es en sí mismo suficiente” coincide el ingeniero de EFF. “Las auditorías por parte de terceros y revisiones por pares son vitales para cerciorarse de que se encuentran y resuelven posibles vulnerabilidades del software lo antes posible. Afortunadamente, Google cuenta con su programa de recompensa para quienes encuentran errores de seguridad”.

¿Es el cifrado in-browser realmente fiable?

¿Es el cifrado in-browser realmente fiable?Para algunos sectores de la comunidad tech, la denominada criptografía in-browser (dentro del navegador) sigue despertando ciertas suspicacias, aunque “muchas cosas han cambiado en los últimos años”, según apunta el ingeniero de la EFF.

“En el pasado la criptografía in-browser no era posible. La reconocida firma de seguridad, Matasano, publicó en 2011 su famoso post enumerando todas las razones por las que realizar el cifrado en el navegador era dañino, desaconsejable e incluso peligroso. Entre ellas destacaban el hecho de que no hubiese en Javascript un generador de números aleatorios lo suficientemente bueno para criptografía, no hubiese mecanismos para firmar el código que se entrega para asegurar que se comporta correctamente, ni se dispusiese de ninguno de los elementos básicos para una buena criptografía –los llamadas 'primitivas criptográficas'—. Pero ahora, ”todos los navegadores de escritorio y la mayoría de los navegadores móviles son compatibles con fuertes generadores de números aleatorios a nivel de sistema operativo“.

Tal y como explica Budington, el grupo de trabajo de Criptografía del Consorcio de la World Wide Web (W3C) –comunidad internacional, liderada por el inventor de la web, Tim Berners-Lee, cuyo fin es desarrollar estándares web— ha ideado una API que los fabricantes de navegadores están implementando para asegurar la disponibilidad de primitivas criptográficas de bajo nivel. “End-to-End estará disponible como una extensión de navegador en la tienda web de Chrome, por lo que cada versión irá firmada por Google antes de ser entregada y ejecutada por los usuarios finales”.

De hecho, otras extensiones para navegador tan extendidas como CryptoCat también utilizan este mecanismo de entrega de código a sus usuarios. “Todo esto significa que si los desarrolladores siguen ciertas buenas prácticas establecidas, pueden desarrollar aplicaciones de cifrado para navegadores seguras”, por ello, desde la EFF aplauden la iniciativa de Gmail.

Especialmente, en un momento como el actual en el que, tras desvelarse que el programa PRISM de la NSA interceptaba información de corporaciones como Yahoo, Google, Facebook o Apple, la concienciación de los internautas con respecto a su privacidad y la seguridad de sus comunicaciones va en paulatino aumento. De un tiempo a esta parte, la labor de la comunidad tech está contribuyendo a lo que puede considerarse una democratización de unas herramientas antes manejadas en su mayoría por personas con un perfil informático elevado, por lo que esta alianza entre los dos gigantes del webmail pone de manifiesto, cuanto menos, que la criptografía es una prioridad cada vez mayor para la industria y la sociedad post-Snowden.

Foto: Yuri Samoilov

En algún momento, todos hemos tenido que buscar por tierra, mar y aire para encontrar el cargador del móvil que recordábamos haber dejado en el cajón del escritorio, las gafas que habíamos colocado en la mesa del salón o las llaves que pensábamos que estaban en el bolso.

En lo que respecta al correo eletrónico, ocurre algo parecido. Muchos también nos hemos vuelto locos tratando de localizar aquel email que nos mandó en su día la aerolínea con los billetes para las vacaciones o los amenazantes correos con las facturas de la luz y el teléfono.

Todo sería más fácil si fuéramos capaces de organizar los mensajes ya leídos: borrar los innecesarios y mantener aquellos que resultan de especial importancia (a ser posible, etiquetados). Para algunos, ordenar y acumular correos puede suponer un problema. Hablamos del trastorno de acumulación compulsiva y del síndrome de Diógenes, ambos en su versión digital.

Nuestro correo no convive con la basura y el polvo, y lleva bastante tiempo ocupar todo el espacio disponible de forma gratuita. Sin embargo, la incapacidad de borrar un mensaje antiguo y la obsesión por tenerlos ordenados nos pueden llevar a padecer estas psicopatologías.

La acumulación digital

A pesar del poco tiempo que ha transcurrido desde que se detectaron dichas conductas, a principios de la pasada década, los psicólogos ya le han dado una definición a los formatos digitales en los que se presenta la acumulación compulsiva.

“Aunque todavía no está reconocido como una psicopatología, se trataría de un tipo especial de síndrome de Diógenes, propiciado por la extensión de las nuevas tecnologías en las tareas diarias”, explica a HojaDeRouter.com Juan Moisés de la Serna, doctor en psicología y antiguo profesor de la Universidad de Sevilla.

Y en cuanto al trastorno de acumulación compulsiva, “los objetos de acumulación no son físicos, luego no ocuparían la vivienda de la persona, sino más bien el disco duro, las bandejas de email o su cuenta en la nube”.

Tal y como señala De la Serna, una persona que guarda todo el correo, lo clasifica y después es incapaz de borrarlo, también extiende tal comportamiento al mundo de las descargas. De ahí que no necesitemos saber ningún número concreto de correos para averiguar si tendemos a acumular demasiado.

Algo en lo que también está de acuerdo Raquel Ferrari, consultora en psicología de internet. “Lo que se valora es la conducta en general, no sólo si almacena emails, sino si no puede borrar ningún correo recibido o si no puede discriminar entre qué información es útil y cuál no. Películas, artículos, PDF, fotos, etc.”

Guardar, lo normal

No todo el mundo que almacena cantidades ingentes de correos tiene este tipo de problemas. Según los expertos, la ansiedad juega un papel importante. Si en las versiones offline de dichas patologías las personas suelen presentar signos de demencia – en el caso del síndrome de Diógenes - o una conducta ansiosa u obsesiva, resulta más probable que se dé también en el online.

Aún así, “no hay todavía estudios de casos suficientes para comparar y marcar similitudes y diferencias. El problema aquí es ver si hay o no algún sistema para encontrar la información o si la persona controla mínimamente qué material tiene en su PC”, señala Ferrari.

“Una persona que acumula en la vida real tendería también a hacerlo en la vida digital, y no viceversa, pero es sólo una hipótesis”.

No es necesario ponerse paranoico. Descargarse películas, acumular textos o tener el Récord Guinness no certificado al mayor número de correos sin leer es algo relativamente normal.

“Todos solemos guardar las fotos de viajes, los vídeos más graciosos o la música más escuchada, pero en el comportamiento patológico del trastorno de acumulación compulsiva digital se guarda todo, eso sí, ordenado y clasificado”, indica De la Serna.

Aprender a usar el correo

Las personas que padecen estas patologías en el mundo físico no suelen acudir a la consulta de un psicólogo. En el caso digital, ocurre tres cuartos de lo mismo. Aún así, la gente que tiende a acumular libros o correos, cajas repletas de CDs o carpetas llenas de canciones suelen pasar desapercibidas.

“En principio, la persona que sufre un trastorno de acumulación compulsiva, ya sea digital o no, lleva una vida 'normal', de convivencia con los demás, los cuales puede que nunca lleguen a saber de su 'afición'”, explica De la Serna.

En cuanto al síndrome de Diógenes, que conlleva que los pacientes – en general, ancianos -, vivan en condiciones pésimas de higiene, “no parece que en el mundo digital se pueda producir ese deterioro nocivo, aunque sí puede darse el caso de que la persona sature el servidor o el disco duro de su empresa si sufre este síndrome”.

En estos casos, el tratamiento se basa, simplemente, en que las personas aprendan a manejar las herramientas digitales, en concreto el correo.

“Si todos los destacamos, al final no nos servirá para saber qué es importante y qué no. Igualmente, si no abrimos los emails y estos se acumulan, perderemos la utilidad de la herramienta, porque no nos servirá para lo que está diseñado: servir de vía de comunicación”.

20.530, 433, 103.456 emails... Más alta o más baja la cifra de correos sin leer, tampoco hay que preocuparse demasiado. Seguro que Gmail nos da tarde o temprano algún que otro mega más de espacio.

---------------

Las imágenes de este artículo son propiedad, por orden de aparición, de CarbonNYC, Ian Lamont, Skrewtape, Carlos Martz, C x 2 y Herman Rhoids

Esta semana, Google ha anunciado que está desarrollando una extensión para Google Chrome que nos permitirá cifrar, cómodamente, los correos que enviemos desde Gmail. Aunque la extensión aún no está disponible, el objetivo de Google es hacer que la criptografía esté al alcance de los usuarios, directamente desde su navegador, ofreciendo así un recurso libre y gratuito que nos permitirá mantener comunicaciones mucho más seguras.

Cuando usamos servicios como Gmail, estamos acostumbrados a ver el HTTPS en la barra de direcciones del navegador y asumimos que la conexión es segura. Efectivamente, la conexión está cifrada entre nuestro ordenador y el servidor de correo. Pero si Google, internamente, intercambia datos entre sus servidores sin cifrar las comunicaciones de estos, nuestros datos podrían llegar a estar accesibles a un tercero (precisamente, de ello se aprovechaba la NSA a través del programa MUSCULAR).

Cuando saltó a la luz este programa, en octubre del año pasado, Eric Schmidt, presidente ejecutivo de Google, comentó que “había que cifrar toda la información de Internet” para evitar así el espionaje de los gobiernos y, aunque nos pueda parecer exagerado, son muchos los servicios y empresas que han apostado por ofrecer a los usuarios soluciones que refuercen la privacidad de sus datos y el secreto de sus comunicaciones.

De Google precisamente llegó esta semana un anuncio orientado a mejorar la privacidad de nuestras comunicaciones. Dentro de los Informes de transparencia que Google publica periódicamente, los de Mountain View centraron el foco de atención en el correo electrónico y en el uso que hacemos de Gmail.

Según comentaba Google, la mitad del correo que entra o sale de nuestras cuentas de Gmail, en término medio, tiene su origen o destino fuera del servicio de correo de Google; por tanto, aunque Google cifre sus comunicaciones entre servidores, la información intercambiada depende de terceros y podría llegar a ser interceptada.

Para evitar los “ojos curiosos”, sistemas como Mailvelope nos permitían cifrar los correos que enviábamos en Gmail y, de esta forma, proteger el secreto de nuestras comunicaciones; una fórmula sencilla que Google quiere extender a todos los servicios de correo electrónico a través de Google Chrome y una extensión con la que cifrar los correos que enviamos desde Gmail.

Comunicaciones seguras “extremo a extremo”

Decíamos al inicio que aunque la conexión a Gmail esté bajo HTTPS, no quiere decir que nuestras comunicaciones a través del correo electrónico sean seguras. Entre que enviamos un mensaje y el destinatario lo recibe, la información pasa por múltiples servidores y equipos de red y, si el contenido del mensaje no está cifrado, éste puede ser accesible a través de, por ejemplo, puertas traseras.

Para garantizar una comunicación segura entre el remitente y el destinatario de un correo, la solución pasa por cifrarlo en el origen y descifrarlo en el destino; un proceso que Google quiere abrir a todo el mundo para que sea sencillo y cómodo de usar.

Con esa idea, y contando con el poder de la comunidad de desarrolladores, el gigante de las búsquedas ha abierto un proyecto (que se desarrollará de manera abierta) llamado End-to-End que tiene como objetivo desarrollar una extensión de Google Chrome que nos ayude a cifrar nuestros correos electrónicos usando OpenPGP.

La extensión para Google Chrome aún no está accesible para los usuarios, se encuentra en un estado inicial (versión alfa) pero, cuando la podamos descargar de la Chrome Web Store, podremos firmar y cifrar nuestros mensajes usando OpenPGP y, evidentemente, descifrar los mensajes que nos envíen (al igual que ocurría con Mailvelope). Quizás se pueda pensar que Google está haciendo algo que ya está disponible en extensiones para Chrome o Firefox (podemos encontrar extensiones para usar GPG y PGP); sin embargo, el objetivo es democratizar el uso de estos recursos para que cualquier usuario, independientemente de sus conocimientos técnicos, los pueda usar.

¿Y por qué Google necesita a la comunidad? ¿Por qué no publican directamente la extensión? Nadie duda a estas alturas de la capacidad técnica de Google; la empresa es más que solvente como para abordar este proyecto. Que End-to-End sea un proyecto de código abierto no significa que Google esté buscando colaboradores para el desarrollo; la publicación del código fuente es una muestra de transparencia que persigue que la comunidad pueda auditar la extensión y así contribuir a ofrecerle al usuario una utilidad realmente segura y fácil de usar.

El gesto de Google ha sido bien recibido por la comunidad y voces como la de Nadim Kobeissi, fundador de CryptoCat, han apoyado esta iniciativa de Google para llevar la criptografía al navegador de los usuarios.

Caminar hacia un sistema de correo electrónico totalmente seguro

Como bien comentaba Google en su anuncio, salvo que todos los proveedores de correo electrónico usen un protocolo de comunicaciones seguro, existe la posibilidad de que nuestros mensajes sean interceptados (y para evitar esto, tenemos que cifrar nosotros las comunicaciones y paliar esta carencia). Que Google consiga que cifrar nuestras comunicaciones sea algo sencillo es una muy buena noticia y, sin duda, nos hace confiar algo más en sus servicios.

La preocupación de Google tras las revelaciones de Snowden que lo señalaron como una de las empresas que se han visto comprometidas por la NSA, es patente y esta medida es una muestra de que quiere recuperar la confianza de sus usuarios.

Como bien decía Glenn Greenwald en la entrevista que concedió a eldiario.es, la intromisión de la NSA en los sistemas de empresas como Google ha generado desconfianza y puede provocar que los usuarios se decanten por servicios alojados en países mucho más proteccionistas como Brasil o Alemania (Microsoft, por ejemplo, permite a sus clientes corporativos elegir en qué centro de datos se almacenará su información).

Cifrar las comunicaciones “extremo a extremo”, realmente, no debería ser una tarea que resida en el lado del usuario. El correo electrónico debería ser un servicio seguro que ofrezca todas las garantías pero, mientras no tengamos alternativas 100% seguras, debemos poner de nuestra parte y cifrar nuestra información de manera proactiva.

El objetivo, aunque no es fácil, debería ser que el intercambio de correos electrónicos fuese seguro por definición; por tanto, las comunicaciones extremo a extremo deberían estar cifradas. Evidentemente, no estamos ante un reto sencillo pero, a través de Kickstarter, Ladar Levison, fundador de Lavabit, dio un pequeño gran paso con el arranque del proyecto Dark Mail.

Levison está trabajando en un nuevo protocolo de correo electrónico con cifrado extremo a extremo que persigue, precisamente, ofrecer a los usuarios un sistema inmune al espionaje (apoyándose en el trabajo desarrollado por Lavabit hasta su cierre) y, sin duda, puede ser una gran oportunidad para el futuro.

Imágenes: Yuwen Teo (Flickr), Robert Scoble (Flickr) y Kevin Fitz (Flickr)

Tras las informaciones que han ido conociéndose sobre el alcance de la NSA y las escuchas a ciudadanos de cualquier país, quienes usamos el correo electrónico a diario no podemos evitar preguntarnos si deberíamos tener algún método de cifrado para proteger nuestras comunicaciones.

A decir verdad, viendo el estado de vigilancia al que estamos expuestos, la respuesta más sensata debería ser “¿pero, no cifras ya tus comunicaciones?”. Y si hablamos de periodistas o profesionales que trabajan con la información, tener un sistema de cifrado que proteja tanto los datos de tus fuentes como tus propios correos es absolutamente imprescindible.

Los que usamos Gmail aceptamos a regañadientes que escanee permanentemente nuestros emails a cambio de un servicio gratuito y en la nube, incomparable en términos de calidad, pero eso no tiene por qué ser excusa para abandonar nuestra privacidad. Mailvelope es una extensión gratuita que permite cifrar con PGP usando los servicios de Gmail, Yahoo, Outlook y otros. El proceso para usarlo no es complicado pero es útil entender algunos conceptos.

PGP es un programa que sirve para proteger contenido distribuido a través de internet mediante el uso de criptografía, y para Mailvelope utiliza criptografía asimétrica o de clave pública.

Qué es la criptografía de clave pública

Cuando hablamos de cifrar, se supone que quien envía y quien recibe el mensaje comparten una clave para cifrar y descifrar. Este es el método tradicional, que es el simétrico: ambos extremos conocen esa clave (shared key), -como la del wifi- y esa es la que se usa. El problema de este método es que ambos extremos tienen que pasarse la clave en algún momento, con las complicaciones que eso supone (pasar por canales separados y asegurarse de que nadie la sabe).

Por eso se buscaron métodos alternativos y así surgió el cifrado de clave pública, que consiste en que una persona genera dos claves, una privada y una pública. La pública es, como su nombre lo indica, pública. De hecho debe ser publicada para que cualquiera pueda usarla para cifrar un mensaje que va a enviarte. Pero ese mensaje sólo puede ser descifrado con la clave privada asociada, que obviamente es la que tiene el receptor.

Cómo instalar y configurar Mailvelope

Mailvelope es muy simple de usar, es un plugin de Chrome que se instala en un minuto y hace obsoletas tus excusas para no empezar a usarlo ya mismo. Estos son los pasos:

1. Instalar Mailvelope en Chrome.

2. Configurar Mailvelope desde el navegador.

3. Ir a Options > Generate Key

Allí completar con tus datos: nombre, email, encryption method (dejar RSA 4096, lo más seguro). Completar con una passphrase (una contraseña).

4. Una vez que tengas tu clave pública, tienes que compartirla con cualquiera que quiera enviarte un mensaje cifrado. Para eso ve a Display Keys > En Export, despliega el menú y selecciona Display Public Key. Puedes crear un archivo de texto para enviárselo a quien quieras, o puedes copiar y pegar el texto en tu blog. Yo lo tengo en mi sección de contacto, por ejemplo.

5. Para enviar un mensaje cifrado a alguien, tienes que tener su clave pública. Pídesela o mira si la tiene publicada en algún sitio. Una vez que la tengas, ve a Import Key, y pega la clave en el recuadro, luego click en Submit. Con esto ya tienes configurado Mailvelope.

Cómo enviar un mensaje cifrado

En Gmail, después de redactar de modo normal el mensaje, arriba a la derecha de tu mensaje aparecerá un ícono de un candado, siempre que tengas activado y configurado Mailvelope.

Para cifrar el mensaje, una vez escrito, haciendo click en ese ícono se abrirá una ventana donde deberás especificar el destinatario de tu mensaje.

Es aquí donde aparecen los destinatarios de los que hayas añadido su clave pública. También te agregas a tí mismo (algo que puedes configurar para que aparezca por defecto) para que puedas leer los mensajes enviados en tu email.

El mensaje que recibes cifrado se ve así:

Para abrirlo, haces click en el candado y se abre una ventana que te pide tu contraseña, una vez puesta te muestra el mensaje descifrado.

Enviar un email cifrado con Mailvelope lleva un par más de clicks que un email normal y requiere que tengas la clave pública de la persona a la que envías el email, pero aún así sirve para enviar aquellos emails que contienen información sensible. Nunca sabes cuándo puede ser necesario.

[Actualización: Hay un plugin de Firefox en desarrollo, como me comentan en Menéame.]

Foto: Brenda Clarke

Los anuncios conceptuales y la privacidad en Internet. El debate que nunca termina va a volver a girar sobre un asunto que no es nuevo, la intrusión de los robots de las compañías en los emails personales para ofrecer anuncios relacionados con el contenido de lo que llevan escrito. Google se ha enfrentado en numerosas ocasiones a esta polémica y va a volver a hacerlo porque Microsoft ha empezado una campaña contra su servicio basada en la denuncia de este uso comercial del correo privado.

En efecto, la publicidad que aparece en el contorno de la web de Gmail es seleccionada tras una búsqueda de palabras clave dentro del contenido de los correos. Además, con el cambio en la política de privacidad que se introdujo el 1 de marzo de 2012 la información sobre un usuario recopilada por varios servicios de la compañía se combina para dar resultados más precisos.

Pero no todos los usuarios son conscientes de esta forma de operar. Según un estudio patrocinado por Microsoft, más de un 70% de los encuestados dijo no saber que Google y otras compañías acceden a sus mensajes en busca de palabras clave, a pesar de que queda explicado en las condiciones de privacidad y uso.

Por si fuera poco, desde octubre de 2012, el robot de Gmail es incluso capaz de leer dentro de los archivos adjuntos al correo como documentos .doc o .pdf. Por tanto un documento sobre política en América Latina puede aparecer junto a un anuncio de vacaciones en Brasil.

Google responde que este proceso “es completamente automático y no involucra a humanos”. Además, se generan de forma dinámica y no están asociadas a ningún usuario en particular.

Todos los grandes servicios exploran el correo

Microsoft acusa a Google y al resto de competidores de colarse en el contenido para sacar rendimiento económico, pero su gran rival le responde que de una forma u otra la lectura de emails es una práctica común.

Sea o no para sacar provecho, los robots de cualquier gran servicio explora el correo en busca de spam, malware y otro tipo de contenido considerado como no deseado.

“Todos los servicios de correo principales, incluidos Hotmail y Yahoo!, escanean automáticamente el contenido del correo por el bien de sus usuarios”, dicen las condiciones de servicio utilizando ese lugar común tan repetido por quienes deciden por el resto. “Cuando los mensajes de correo están completamente protegidos de una revelación no deseada, el escaneo automático del correo no equivale a una violación de la privacidad”.

Las compañías se escudan en que al final todos los usuarios han aceptado las cláusulas de uso y han dado permiso a sus proveedores para entrar en los mensajes. ¿Y qué ocurre con los clientes de otros servicios de correo minoritarios que no siguen este comportamiento y que por tanto no han dado su aprobación a esta lectura?

En cualquier caso quien quiera dejar de aparecer en los productos de Google puede acudir a plataformas como Data Liberation Front para acabar con todo rastro.