Google actualmente esta cifrando todo el trafico de su popular servicio de correo Gmail desde sus servidores a sus usuarios, en un intento por frustrar a intrusos que se sientan en los cafés u otros sitios públicos a la escucha del tráfico que pasa por las redes Wi-Fi.

El cambio se produce apenas un día después que la compañía anunció que podría retirar sus oficinas en China, después de descubrir esfuerzos concertados para irrumpir en las cuentas de Gmail de los activistas por los derechos humanos en dicho país. El cambio a HTTPS añade más seguridad, pero no ayuda a prevenir el tipo de ataques de Google anunció el martes pasado.

Todos los usuarios de Gmail usaran ahora en adelante, y por defecto, el protocolo HTTPS,  el método de cifrado seguro para comunicaciones con servidores remotos. Esto será válido para todas sus sesiones de e-mail, y no sólo para los log-in. La variante llamanda HTTPS de sesión larga ha sido una opción oficial para todos los usuarios de Gmail desde 2008, pero Google dudó en activarlo por defecto para todos los usuarios, a fin de no generar retrasos el servicio de correo.

El director de ingeniería Sam Schillace, escribió en el blog de Gmail que «Durante los últimos meses, hemos estado investigando relación seguridad y compensación de latencia, y se decidió que activar  https para todos era lo correcto«

Esta opción a menudo no es necesaria cuando los usuarios utilizan conexiones fijas de confianza, en sitios como su hogar o la oficina, o DSL de líneas de cable. Pero dada la popularidad de las redes Wi-Fi públicas, los aficionados a las intrusiones comenzaron a utilizar software especializado para capturar datos (sniffers), los cuales ayudan a obtener desde el aire datos sobre las actividades en línea de las personas en dichos sitios públicos, con el objetivo de robar las contraseñas.

Sin embargo, la activación del cifrado no encripta el correo electrónico, simplemente encripta las comunicaciones entre los servidores de Google y el ordenador del usuario. Los e-mails enviados a otras personas usando otros servicios de correo son transmitidas en claro como siempre lo ha sido. El correo electrónico cifrado sólo puede ser leído por el remitente y el receptor, independientemente de cómo se mueven a través de Internet.

Otro aspecto a considerar es que para aquellos que usan servicios de correo en sitios de trabajo o en escuelas, el cifrado de correo evitara que los empleados de los departamentos de IT puedan ver el contenido de sus mensajes.

Una coalición de expertos en seguridad y privacidad, pidió públicamente a Google hacer el cambio en junio pasado, argumentando que Google estaba poniendo a millones de personas en riesgo por no usar el cifrado como predeterminado para sus servicios de Cloud Computing.

Los usuarios que comprueben que el servicio es lento o determinen que la encriptación es excesiva para sus necesidades, puede deshabilitar la opción HTTPS en la configuración de su cuenta de correo.

Los rivales de Google en correo gratuito, Yahoo y Microsoft, no utilizan HTTPS en sus períodos de sesion, ni los sitios de redes sociales o en los denominados “servicios de nube”.

En cambio, la mayoría de estos servicios utilizan el protocolo seguro HTTPS sólo para acceder al sistema, para luego volver a navegar sin cifrado alguno. No utilizar HTTPS de sesión larga incrementa la vulnerabilidad, dejando el camino abierto para ataques en redes mal aseguradas, especialmente en redes Wi-Fi públicas.

Traducción del articulo original en Wired:

Google Turns on Gmail Encryption to Protect Wi-Fi Users