Esta semana, Google ha anunciado que está desarrollando una extensión para Google Chrome que nos permitirá cifrar, cómodamente, los correos que enviemos desde Gmail. Aunque la extensión aún no está disponible, el objetivo de Google es hacer que la criptografía esté al alcance de los usuarios, directamente desde su navegador, ofreciendo así un recurso libre y gratuito que nos permitirá mantener comunicaciones mucho más seguras.
Cuando usamos servicios como Gmail, estamos acostumbrados a ver el HTTPS en la barra de direcciones del navegador y asumimos que la conexión es segura. Efectivamente, la conexión está cifrada entre nuestro ordenador y el servidor de correo. Pero si Google, internamente, intercambia datos entre sus servidores sin cifrar las comunicaciones de estos, nuestros datos podrían llegar a estar accesibles a un tercero (precisamente, de ello se aprovechaba la NSA a través del programa MUSCULAR).
Cuando saltó a la luz este programa, en octubre del año pasado, Eric Schmidt, presidente ejecutivo de Google, comentó que “había que cifrar toda la información de Internet” para evitar así el espionaje de los gobiernos y, aunque nos pueda parecer exagerado, son muchos los servicios y empresas que han apostado por ofrecer a los usuarios soluciones que refuercen la privacidad de sus datos y el secreto de sus comunicaciones.
De Google precisamente llegó esta semana un anuncio orientado a mejorar la privacidad de nuestras comunicaciones. Dentro de los Informes de transparencia que Google publica periódicamente, los de Mountain View centraron el foco de atención en el correo electrónico y en el uso que hacemos de Gmail.
Según comentaba Google, la mitad del correo que entra o sale de nuestras cuentas de Gmail, en término medio, tiene su origen o destino fuera del servicio de correo de Google; por tanto, aunque Google cifre sus comunicaciones entre servidores, la información intercambiada depende de terceros y podría llegar a ser interceptada.
Para evitar los “ojos curiosos”, sistemas como Mailvelope nos permitían cifrar los correos que enviábamos en Gmail y, de esta forma, proteger el secreto de nuestras comunicaciones; una fórmula sencilla que Google quiere extender a todos los servicios de correo electrónico a través de Google Chrome y una extensión con la que cifrar los correos que enviamos desde Gmail.
Comunicaciones seguras “extremo a extremo”
Decíamos al inicio que aunque la conexión a Gmail esté bajo HTTPS, no quiere decir que nuestras comunicaciones a través del correo electrónico sean seguras. Entre que enviamos un mensaje y el destinatario lo recibe, la información pasa por múltiples servidores y equipos de red y, si el contenido del mensaje no está cifrado, éste puede ser accesible a través de, por ejemplo, puertas traseras.
Para garantizar una comunicación segura entre el remitente y el destinatario de un correo, la solución pasa por cifrarlo en el origen y descifrarlo en el destino; un proceso que Google quiere abrir a todo el mundo para que sea sencillo y cómodo de usar.
Con esa idea, y contando con el poder de la comunidad de desarrolladores, el gigante de las búsquedas ha abierto un proyecto (que se desarrollará de manera abierta) llamado End-to-End que tiene como objetivo desarrollar una extensión de Google Chrome que nos ayude a cifrar nuestros correos electrónicos usando OpenPGP.
La extensión para Google Chrome aún no está accesible para los usuarios, se encuentra en un estado inicial (versión alfa) pero, cuando la podamos descargar de la Chrome Web Store, podremos firmar y cifrar nuestros mensajes usando OpenPGP y, evidentemente, descifrar los mensajes que nos envíen (al igual que ocurría con Mailvelope). Quizás se pueda pensar que Google está haciendo algo que ya está disponible en extensiones para Chrome o Firefox (podemos encontrar extensiones para usar GPG y PGP); sin embargo, el objetivo es democratizar el uso de estos recursos para que cualquier usuario, independientemente de sus conocimientos técnicos, los pueda usar.
¿Y por qué Google necesita a la comunidad? ¿Por qué no publican directamente la extensión? Nadie duda a estas alturas de la capacidad técnica de Google; la empresa es más que solvente como para abordar este proyecto. Que End-to-End sea un proyecto de código abierto no significa que Google esté buscando colaboradores para el desarrollo; la publicación del código fuente es una muestra de transparencia que persigue que la comunidad pueda auditar la extensión y así contribuir a ofrecerle al usuario una utilidad realmente segura y fácil de usar.
El gesto de Google ha sido bien recibido por la comunidad y voces como la de Nadim Kobeissi, fundador de CryptoCat, han apoyado esta iniciativa de Google para llevar la criptografía al navegador de los usuarios.
Caminar hacia un sistema de correo electrónico totalmente seguro
Como bien comentaba Google en su anuncio, salvo que todos los proveedores de correo electrónico usen un protocolo de comunicaciones seguro, existe la posibilidad de que nuestros mensajes sean interceptados (y para evitar esto, tenemos que cifrar nosotros las comunicaciones y paliar esta carencia). Que Google consiga que cifrar nuestras comunicaciones sea algo sencillo es una muy buena noticia y, sin duda, nos hace confiar algo más en sus servicios.
La preocupación de Google tras las revelaciones de Snowden que lo señalaron como una de las empresas que se han visto comprometidas por la NSA, es patente y esta medida es una muestra de que quiere recuperar la confianza de sus usuarios.
Como bien decía Glenn Greenwald en la entrevista que concedió a eldiario.es, la intromisión de la NSA en los sistemas de empresas como Google ha generado desconfianza y puede provocar que los usuarios se decanten por servicios alojados en países mucho más proteccionistas como Brasil o Alemania (Microsoft, por ejemplo, permite a sus clientes corporativos elegir en qué centro de datos se almacenará su información).
Cifrar las comunicaciones “extremo a extremo”, realmente, no debería ser una tarea que resida en el lado del usuario. El correo electrónico debería ser un servicio seguro que ofrezca todas las garantías pero, mientras no tengamos alternativas 100% seguras, debemos poner de nuestra parte y cifrar nuestra información de manera proactiva.
El objetivo, aunque no es fácil, debería ser que el intercambio de correos electrónicos fuese seguro por definición; por tanto, las comunicaciones extremo a extremo deberían estar cifradas. Evidentemente, no estamos ante un reto sencillo pero, a través de Kickstarter, Ladar Levison, fundador de Lavabit, dio un pequeño gran paso con el arranque del proyecto Dark Mail.
Levison está trabajando en un nuevo protocolo de correo electrónico con cifrado extremo a extremo que persigue, precisamente, ofrecer a los usuarios un sistema inmune al espionaje (apoyándose en el trabajo desarrollado por Lavabit hasta su cierre) y, sin duda, puede ser una gran oportunidad para el futuro.
Imágenes: Yuwen Teo (Flickr), Robert Scoble (Flickr) y Kevin Fitz (Flickr)