Google puede acceder a los documentos de los usuarios de su nube, avisa exempleado de la compa√Ī√≠a
Por: El País
Octubre 2019

"Google tiene todo lo que necesita para leer tus datos", escribe Martin Shelton, empleado de la compa√Ī√≠a durante dos a√Īos y medio, desde 2017 hasta el pasado septiembre. Shelton es ahora investigador principal en la fundaci√≥n¬†Freedom of the Press, donde ha publicado un¬†art√≠culo sobre la que fue su empresa.

La afirmaci√≥n de Shelton tiene implicaciones muy relevantes. No solo Google tiene acceso a los documentos¬†en su nube, sino que tambi√©n est√°n al alcance de los organismos del Gobierno de Estados Unidos que necesiten informaci√≥n. Y m√°s a√ļn, los administradores de las empresas que usan su herramienta colaborativa G Suite y quieren acceder al trabajo de sus empleados podr√≠an hacerlo, seg√ļn el ingeniero.

El mensaje del experto es que la nube es accesible: desde Google Docs a un buz√≥n de correo. Esto no supone ninguna afirmaci√≥n explosiva en 2019. EL PA√ćS contact√≥ con Shelton para preguntarle si con su art√≠culo revelaba alg√ļn tipo de informaci√≥n interna, m√°s cuando deb√≠a estar bajo un acuerdo de confidencialidad con la empresa tras su salida: "Todo lo que he contado ah√≠ est√° basado en documentos p√ļblicos, y cada cual puede ir a mirarlo por s√≠ mismo", explica. Y a√Īade: "Ahora investigar√© c√≥mo Microsoft Office 365 maneja los datos de los usuarios del mismo modo".

El argumento que Martin Shelton quiere destacar es que todo lo que está en la nube es susceptible de ser consultado por terceros. Así que quien maneje información sensible -o datos que un día puedan llegar a serlo-, que use otro lugar, pero no la nube. "Google tiene muchas razones por las que puede acabar leyendo tu información", escribe el ingeniero.

Google comenz√≥ a expulsar al azar en octubre de 2017 a usuarios de su servicio de Google Docs. Justificaba su decisi√≥n en que el usuario hab√≠a "violado los t√©rminos de servicio". ¬ŅC√≥mo puede saber la compa√Ī√≠a que alguien ha violado sus t√©rminos de servicio en un¬†documento de Drive? Porque los lee. "Usamos sistemas automatizados que analizan tu contenido para proporcionarte cosas como resultados de b√ļsqueda adecuados, anuncios personalizados u otras funciones sobre c√≥mo usas nuestros servicios. Y analizamos tu contenido para que nos ayudes a detectar¬†spam [correo no solicitado, con fines comerciales], virus y contenido ilegal", dice Google en su pol√≠tica de privacidad.

Es √ļtil que la compa√Ī√≠a lea tus correos

Gmail detecta maravillosamente el¬†spam porque lee y analiza los mensajes de correo de todos sus usuarios. Es un servicio √ļtil. Esto no implica que haya empleados de Google ojeando documentos en los buzones para encontrar ilegalidades. Pero podr√≠an hacerlo si quisieran.

Martin Shelton admite que no supo nada sobre este asunto hasta bastante tiempo despu√©s de haber entrado a trabajar en Google: "Durante mucho tiempo ni siquiera yo ten√≠a ni idea", y a√Īade: "Trabaj√© en el equipo de [el navegador] Chrome. Google trabaja en tantos proyectos distintos que es dif√≠cil seguirlos todos. No sab√≠a sobre estos sistemas hasta que empec√© a investigarlos en serio".

Es sin embargo sabido que los controles f√≠sicos -c√°maras, vigilancia,¬†logs de qui√©n tiene acceso- de la empresa en sus centros de datos son severos. Pero se sabe menos sobre qu√© empleados tienen permiso para husmear en la informaci√≥n: "No sabemos cu√°nta gente en Google tiene acceso a datos de usuarios, ni c√≥mo se determina su acceso. ¬ŅA qu√© tipo de datos pueden tener acceso y en qu√© circunstancias? ¬ŅCu√°nta gente puede recuperar esa informaci√≥n con una petici√≥n legal? No lo sabemos", escribe Shelton.

Pocos en el sector de la ciberseguridad se sorprenden al conocer estos detalles. "Esto es lo de siempre. Cuando aceptas los términos y condiciones te pliegas a la arbitrariedad del proveedor de turno. Los problemas habituales (no mediáticos) y que demuestran la tutela de Google sobre el contenido que se sube es la supresión de material con copyright o que se considera que 'vulnera la normativa de Google'", dice Enric Luján, profesor de Ciencia Política especializado en tecnología y privacidad de la Universidad de Barcelona y miembro del grupo Críptica.

Pero los usuarios sospechan menos de que sus documentos en la nube son accesibles y que es mejor que guarden su informaci√≥n confidencial en herramientas encriptadas o, casi mejor, fuera del ordenador. Es una llamada m√°s a abrir los ojos, seg√ļn el extrabajador de la tecnol√≥gica: "Hacer que G Suite est√© encriptado es un desaf√≠o t√©cnico enorme. Puede potencialmente romper algunas de las funciones de Google", dice Shelton a EL PA√ćS. "Si Google no pudiera leer los¬†emails perder√≠an la opci√≥n de escanear para detectar contenido malicioso, lo que es una gran ventaja de G Suite. Pero si pierden la capacidad de leer tus documentos, puedes perder la correcci√≥n ortogr√°fica o algunas capacidades de b√ļsqueda en Google Cloud. A m√≠ me parecer√≠a bien", a√Īade.

Quienes no est√©n de acuerdo con este sistema deber√≠an plantearse dejar la informaci√≥n sensible lejos de Google. No solo porque la compa√Ī√≠a puede verla, sino porque el administrador de una empresa puede acceder a esos datos o porque Google puede compartirla con quien quiera.

En las empresas que tienen G Suite, los¬†"superadministradores" pueden activar Vault, que es un sistema que, seg√ļn Google, sirve para la "conservaci√≥n de datos y descubrimiento electr√≥nico". Como muchas cosas en la firma tecnol√≥gica, eso es un eufemismo para decir que ese "superadministrador" puede recuperar y buscar entre todos estos documentos: "Mensajes de Gmail, chats de la versi√≥n cl√°sica de Hangouts con el historial activado, chats de Google Talk con el registro habilitado, grupos de Google, archivos en Google Drive, conversaciones de Hangouts Chat con el historial activado y grabaciones de Hangouts Meet", seg√ļn Google. Nada desaparece nunca del todo, aunque lo borres. "En otras palabras, los administradores tienen la capacidad de leer los borradores de tus correos en directo, o repetir [el ritmo de escritura] despu√©s de que los termines", escribe Shelton.

Los periodistas, abogados, empleados p√ļblicos que manejan datos sensibles deben tener cuidado con qu√© almacenan en la nube. Nada es completamente privado.

 

Imprimir
Enviar Articulo