El mes pasado, los investigadores de las universidades de Michigan e Illinois, junto con Google, descubrieron que en muchas partes del mundo la tecnología de cifrado para correos STARTTLS puede ser fácilmente quebrantable. Debido a ello, la compañía ha decidido que comenzará a advertir a los usuarios de Gmail cuando los correos que manden a otros proveedores de correo no estén cifrados.
Este nuevo emprendimiento es parte de la búsqueda de la empresa para mejorar el cifrado del correo electrónico en todo el mundo. Google comenzó con este camino hace un año, cuando lanzó la campaña Safer Email (Correo más seguro) para alentar a los proveedores de correo a usar el método de cifrado STARTTLS. Google puede cifrar sus propios correos, pero no todo el mundo usa Gmail. Si otros proveedores no soportan STARTTLS, entonces esos correos serán enviados sin cifrar a sus destinos.
Desde entonces, múltiples proveedores han comenzado a soportar STARTTLS, pero de acuerdo con Google, el mayor impulso en el cifrado de correos electrónicos llegó con la adopción de Microsoft y Yahoo del protocolo. Sin embargo, otros pequeños proveedores aún no lo ofrecen a sus usuarios, por lo que Google está tomando el siguiente paso para advertir a sus usuarios de Gmail cuando envíen un correo a un proveedor que no soporta propiamente STARTTLS.
La compañía descubrió que en algunas partes del mundo, como Túnez, algunos atacantes estuvieron manipulando las solicitudes para iniciar el cifrado de correo electrónico. También encontró que algunos servidores DNS maliciosos publicaron información de enrutamiento falsa para servidores de correo electrónico en busca de Gmail. Este tipo de ataque puede ser usado para censurar o modificar los mensajes antes de que lleguen a su destino. La compañía dijo que va a trabajar con otros socios para fortalecer el cifrado de correo electrónico con las tecnologías que ya se utilizan en Chrome para proteger sitios web contra la interceptación de datos.
De acuerdo con Google, los usuarios de Gmail comenzarán a ver las advertencias de correos no cifrados en los próximos meses. Cabe recordar que la compañía también ha estado trabajando en una extensión de cifrado para navegadores desde 2013 llamada End-to-End, pero no ha mencionada nada acerca de su progreso en más de un año.
Referencia: Google