Google lanzó hoy un programa gratuito opt-in dirigido a usuarios que creen que sus cuentas de Google, como Gmail, Drive, YouTube, etc., tienen un riesgo particularmente elevado de ataques en línea específicos.
El programa Advanced Protection consta actualmente de los tres elementos principales: la defensa de los usuarios de Gmail y de la cuenta de Google contra los ataques de phishing al requerir 2FA a través de un token generado por una clave de seguridad de hardware; bloqueando el riesgo de que las aplicaciones maliciosas obtengan datos confidenciales limitando automáticamente el acceso total a Gmail y Drive a solo aplicaciones de Google (por ahora); y reducir el riesgo de que los hackers accedan a una cuenta de Gmail a través de la suplantación agregando más pasos al proceso de recuperación de la cuenta.
Es seguro decir que esto es una mayor seguridad a través de una menor comodidad. Y se la factura como definitivamente no para todos, sino para una pequeña minoría de usuarios en “riesgo elevado” de piratería dirigida.
Google cita ejemplos como el personal de campaña política que trabaja para que su candidato sea elegido o los periodistas cuyo trabajo es manejar información confidencial.
El año pasado, la piratería de los correos electrónicos del demócrata John Podesta arrojó una gran atención sobre los riesgos de que las cuentas de correo electrónico sensibles fueran pirateadas, ya que el contenido de los correos electrónicos se recogió en público y, sin dudas, dio forma a la narrativa de la campaña electoral estadounidense. (Aunque a principios de este año también se reveló que los piratas informáticos habían atacado las cuentas de correo electrónico de los empleados franceses del presidente Emmanuel Macron, con correos electrónicos filtrados en la víspera de esa encuesta ).
“Tomamos este paso inusual porque hay una minoría olvidada de nuestros usuarios que tienen un riesgo particularmente elevado de ataques en línea específicos. Por ejemplo, estos podrían ser empleados de campaña que se preparan para una próxima elección, periodistas que necesitan proteger la confidencialidad de sus fuentes o personas en relaciones abusivas que buscan seguridad. A veces incluso los usuarios más cuidadosos y con mayor seguridad son atacados con éxito mediante estafas de phishing, especialmente si esas estafas de phishing se dirigían individualmente al usuario en cuestión “, escribe Google.
Inscribirse en el programa está abierto para cualquier persona que tenga una cuenta de Google. Aunque el registro actual requiere usar el navegador Chrome de Google porque Google dice que es compatible con el estándar U2F para claves de seguridad. “Esperamos que otros navegadores incorporen esto pronto”, agrega Google.
Las personas que quieran optar por bloquear el riesgo de que se infrinja su correo electrónico de Gmail también necesitarán comprar (o poseer) dos claves de seguridad de hardware compatibles.
Google observa que ha estado probando el programa durante algunas semanas, con probadores beta que incluyen a Andrew Ford Lyons, tecnólogo de Internews, una organización internacional sin fines de lucro que trabaja para apoyar el desarrollo de los medios en todo el mundo.
“Los periodistas, los defensores de los derechos humanos, los activistas del medio ambiente y los activistas de la sociedad civil que trabajan en una serie de cuestiones delicadas pueden verse rápidamente afectados por adversarios con recursos suficientes y muy capaces”, dijo Ford Lyons en un comunicado. “Para aquellos cuyo trabajo puede hacer que su perfil sea más visible, configurar esto podría verse como un paso preventivo esencial”.
Ciertamente, es un paso bienvenido de Google. La única pregunta es ¿qué les llevó tanto tiempo?