Nuevo “invitado” en Gmail: cómo perder tu cuenta con un solo clic

Google ha presentado una nueva herramienta para enviar correos electrónicos cifrados que ya ha generado preocupación entre los especialistas en ciberfraude. La función, aún en fase beta para clientes corporativos, permite a los usuarios de Google Workspace enviar mensajes protegidos mediante cifrado de extremo a extremo. Para finales de año, se planea ampliar esta posibilidad a cualquier bandeja de entrada, incluidas direcciones que no sean de Gmail. Sin embargo, precisamente esta ampliación genera inquietud.

El cifrado de extremo a extremo implica que solo el remitente y el destinatario tienen acceso al contenido del mensaje, y que los datos permanecen cifrados durante toda la transmisión. Implementar esta protección de manera clásica es complicado: requiere un sistema avanzado de gestión de claves y conocimientos técnicos, por lo que este tipo de soluciones tradicionalmente solo es utilizado por grandes organizaciones con exigentes requisitos de seguridad. La nueva herramienta de Google simplifica este proceso y reduce la carga sobre los departamentos de TI, ofreciendo gestión automatizada de claves a nivel organizativo.

La principal vulnerabilidad radica en el escenario donde el mensaje cifrado se envía a una dirección que no sea de Gmail. En ese caso, el destinatario recibe una invitación para ver el mensaje a través de una cuenta de invitado en una versión limitada de Gmail. Estos correos vienen acompañados de una advertencia: “Tenga cuidado al iniciar sesión para ver este mensaje cifrado. Ha sido enviado por un remitente externo. Asegúrese de confiar en el remitente y en su proveedor de identidad”.

Sin embargo, este esquema puede convertirse en una plataforma ideal para el phishing. Los ciberdelincuentes podrían comenzar a enviar invitaciones falsas, disfrazándolas como si fueran originales. Un usuario que no esté familiarizado con esta nueva función corre el riesgo de hacer clic en un enlace falso e ingresar sus credenciales de correo electrónico, sistemas corporativos u otros servicios. Los expertos advierten que Google está creando, de hecho, un nuevo canal a través del cual los atacantes pueden engañar a personas que no están acostumbradas a este tipo de mensajes.

El hecho mismo de que las claves de cifrado estén bajo control de la administración de Workspace, y no almacenadas localmente por el remitente y el destinatario, ya indica que no se trata de un cifrado de extremo a extremo en el sentido estricto. No obstante, para cumplir con regulaciones y procesos internos de negocio, la función puede resultar útil. Pero para comunicaciones verdaderamente confidenciales, los expertos recomiendan utilizar aplicaciones especializadas como Signal.

Google asegura haber tenido en cuenta las amenazas potenciales al diseñar esta nueva función. Según un portavoz de la empresa, el sistema de notificaciones está estructurado de forma similar al que se utiliza al recibir archivos a través de Google Drive. Sin embargo, la historia ya ha demostrado que falsificar este tipo de notificaciones fuera del ecosistema de Google es una práctica común y difícil de prevenir.

El problema central es la confianza. Los usuarios tienden a considerar seguros los correos provenientes de Google y perciben la frase “mensaje cifrado” como un sello de máxima protección. Y eso crea una falsa sensación de seguridad de la que los estafadores sin duda se aprovecharán. Incluso la advertencia en el mensaje podría no ser suficiente: es fácil de copiar y añadir a versiones falsas, y la mayoría de los destinatarios probablemente no prestará atención a ella.

En esencia, Google se enfrentaba a una decisión: permitir el envío de mensajes cifrados a todos, con el riesgo de phishing, o limitarlo únicamente a usuarios de Gmail. La compañía optó por la primera opción y añadió una advertencia formal. Si esta barrera resultará eficaz, solo el tiempo lo dirá. Por ahora, la nueva función, a pesar de sus evidentes ventajas, abre una puerta adicional a ataques disfrazados de preocupación por la seguridad.