Desde este verano recibo constantemente un montón de notificaciones de Google, a mi cuenta de Gmail, alertando de que no tengo espacio y de que me toca pagar. Hubo un momento que llegué a pensar que podría ser una estafa por esa insistencia ilógica y tan sumamente pesada. Es como una constante alerta que invade mi teléfono.

Pues bien, hace unos días, viendo reels de Instagram un ratito para desconectar (como si ver Instagram sirviera para desconecta de algo, pero acabo cayendo en esa trampa), una usuaria alertaba de que esto de Google insistiendo a sus usuarios para que paguen que se estaba haciendo muy pesado y animando a la gente a cancelar sus cuentas en la empresa.

En Genbeta

Cómo recuperar el Google de toda la vida: así puedes desactivar la IA y el resto de adornos en tus búsquedas

Y es que, claro, a Google parece que se le olvida que no tenemos cuentas gratis, sino que gracias a toda nuestra información que recopila a través de todas sus herramientas, ha creado un imperio basado en marketing ya que tiene muchísimo conocimiento de la sociedad y de sus usuarios para vender a las marcas la posibilidad de ofrecer anuncios personalizados para cada persona. 

Ni siquiera está lleno

A todo esto, en mi caso, ni siquiera mi cuenta está tan saturada. Anda por encima de los 13 GB de los 15 GB que hay. Ha estado muchísimo peor pero coincide que en el viaje de ida a mis vacaciones (estuve sin coche en verano y me tocó llegar a mi destino en un interminable ajetreo de autobuses y paradas en el camino), me dediqué a borrar muchisísimos correos y documentos e imágenes innecesarias. Y, a pesar de eso, Google insiste en que pague. 

También me llegan interminables notificaciones para que haga álbumes de fotos con ellos, que ignoro totalmente. Yendo más allá, me puse a buscar y ví que muchos son los usuarios de los servicios de correo, Drive y Photos de Google que se están sintiendo "frustrados". 

En Genbeta

Trabajar en Google era todo un sueño para muchos. Se está desvaneciendo rápidamente con estas prácticas

Un reciente reportaje explica que si en estos meses has recibido la temida notificación de Gmail «Tu almacenamiento está lleno», no eres el único. Y parece ser que no aplica a todo el mundo. Sino que los usuarios veteranos con cuentas de 10, 15 o incluso 20 años se encuentran con que no pueden enviar ni recibir correos electrónicos a menos que paguen por espacio adicional. 

Personalmente, no me ha pasado así pero porque, por mucho que insista la empresa de Mountain View, mi almacenamiento no está lleno. Un usuarios ha comentado en el mencionado post de Instagram que: "¡He borrado todos mis correos electrónicos! ¡He vaciado mi Google Drive! No tengo nada en Google Fotos y aún así sigue lleno al 96%".

Pagar por todo.... a pesar de que ya pagamos con nuestra información

Como explica el mencionado artículo, hemos pasado de pagar por la música a la televisión, a las aplicaciones de gimnasio, a la edición de fotos y ahora incluso a nuestras bandejas de entrada. A todo esto, pagar por ver películas y series pasa en muchos casos con tener que ver anuncios, como cualquier servicio de televisión de toda la vida. 

Lo curioso es que para los usuarios que solo desean enviar y recibir correos electrónicos sin complicaciones, incluso el plan más económico supone un gasto adicional no deseado en las facturas mensuales.

Imagen | Foto de Justin Morgan en Unsplash

En Genbeta | La increíble paradoja del streaming: tras subir precios y poner anuncios, a Netflix y Disney+ les va mejor que nunca

En Genbeta | "Si perdemos el empleo no nos sirve saber que Google triunfa gracias a nuestro trabajo duro": los 'googlers', contra sus jefes

Hay 'anzuelos' como los 5GB gratis de iCloud que llené muy prontos, pero otros como los 15GB del correo de Gmail que van para largo. Llevo casi 20 años con mi dirección de correo electrónico y no solo nunca la he llenado, sino que a día de hoy pienso que nunca lo haré y lo mejor es que no he necesitado configuraciones avanzadas ni concienzudas limpiezas periódicas: bastan un par de trucos para mantener a raya el almacenamiento de Gmail. Y si ya es demasiado tarde, te dejo otra solución de emergencia fácil, rápida y gratis.

Unsubscribe es mi mejor amigo

Si hay algo que ha bombardeado mi email a lo largo de los años, eso es el spam, y no siempre es indeseado: a veces deseo recibir boletines, pero con el paso del tiempo van ocupando espacio hasta que toca meter la tijera. Además, mis gustos e intereses han cambiado con los años, por lo que algo a lo que me suscribí en 2010 quizás ahora mismo me es indiferente.

Por ley es obligatorio que este tipo de emails cuenten con la información para darse de baja, algo que generalmente se incluye en letra muy pequeñita en la parte inferior del email y hasta en gris, para que pase desapercibido. Si el correo está en castellano, es probable que aparezca algo como 'Date de baja' o 'Darse de baja', pero en otros servicios automatizados o en inglés, viene directamente 'Unsubscribe'. Al tocar, te llevan a otra pantalla donde puedes ejecutar la baja.

Un buen hábito que no lleva demasiado tiempo es precisamente darse de baja cuando llega algún email de algo que no nos interesa. Así, progresivamente nuestro correo electrónico se va llenando menos. El problema está en que cuando tienes una cuenta desde hace casi 20 años como yo, ya se han colado muchos emails indeseados ocupando espacio.

Tiene fácil solución: irse al cajetín de búsqueda y escribir 'Unsubscribe' (sin las comillas). Al ejecutar la búsqueda, veremos los correos que están en nuestra cuenta con esa palabra y que es altamente probable que sean promociones, boletines y demás. Ahora basta con seleccionarlos todos marcando el cuadro de la esquina superior izquierda y borrarlos. Al marcar esta casilla, verás que Gmail advierte que solo borra los 50 incluidos en la página, pero justo al lado y en azul verás la opción de 'Seleccionar todas las conversaciones que coincidan con esta búsqueda'. Después basta con tocar sobre borrar y confirmar. De un plumazo puedes borrar GBs de golpe.

Varias cosas a tener en cuenta: hay 30 días para recuperar cualquier email de la papelera y además, no implica borrarse de esas listas de difusión o eliminar tu cuenta, ni tampoco te impedirá darte de baja.

Esta simple acción es una buena y rápida forma de mantener a raya el espacio ocupado y a partir de aquí, cuando vuelva a llegarme un email de una de esas webs, tendré la opción de acudir al enlace para darme de baja de la parte inferior o directamente, buscarla en su propia web.

En Genbeta

El truco definitivo de Gmail para decir adiós a las molestas bandejas de entrada saturadas de correos electrónicos indeseados

Adiós a los emails con grandes archivos adjuntos

La segunda acción que me ha ayudado a cuidar del espacio de almacenamiento de Gmail es eliminar aquellos emails con correos adjuntos grandes (lo máximo permitido son 25 MB), algo que puede hacerse tocando en el icono de ajustes del cajetín de búsqueda y seleccionando en tamaño 'mayor que' y aquí marcar por ejemplo un límite como 15 MB. Ahora puedes borrarlos todos o ir echando un vistazo a qué te interesa guardar y qué no. Recuerda asimismo que puedes configurar la fecha, por si quieres librarte de aquellos correos con adjuntos grandes que sean antiguos.

Tanto el truco de 'Unsubscribe' como este de los adjuntos grandes pueden automatizarse simplemente creando filtros en Gmail.

Si aún así te quedas sin espacio, hay un plan B gratis

Si por el motivo que sea tu correo acaba llenándose por completo, siempre te quedará un recurso al que acudir para no pagar: crear otra cuenta de Google y después configurarla para que la cuenta original reenvíe de forma automática los mensajes que recibe a la nueva, que será a la. En este tutorial te contamos cómo hacerlo paso a paso.

Una versión anterior de este artículo se publicó en 2024.

Portada | Farhat Altaf en Unsplash

En Genbeta | Este es el trucazo de Gmail que siempre uso para suscribirme a webs y controlar el spam

Google ha publicado un estudio en colaboración con la firma Morning Consult donde, además de exponer las cifras preocupantes sobre la seguridad digital en Estados Unidos, también ofrece recomendaciones concretas para proteger mejor nuestras cuentas de correo electrónico.

Según el informe, más del 60% de los consumidores estadounidenses han percibido un aumento en los intentos de estafa durante el último año. De estos, una tercera parte ha experimentado personalmente algún tipo de filtración de datos personales. En España las cifras también son alarmantes. Y es que durante 2024, el Instituto Nacional de Ciberseguridad (INCIBE) registró 97.348 incidentes de ciberseguridad, lo que representa un aumento del 16,6 % respecto a 2023. De estos, más de 38.000 fueron fraudes online, siendo la mayoría provocados por phishing.

Una situación insostenible con una solución efectiva: passkeys

Las estafas llegan principalmente a través de mensajes SMS, pero el correo electrónico también representa un canal importante. Según el informe, el 61% de los encuestados indica haber recibido intentos de fraude por esta vía. Estos datos cobran especial relevancia cuando se considera que el FBI registró pérdidas de 16.600 millones de dólares por estafas online durante 2024, lo que supone un incremento del 33% respecto al año anterior.

En Genbeta

Usar Google Chrome para gestionar tus contraseñas no es una buena idea. Estos son los motivos

El estudio revela patrones interesantes sobre cómo diferentes generaciones abordan la seguridad en línea. Mientras que más del 60% de la Generación X y los baby boomers continúan utilizando contraseñas como método principal de acceso, las generaciones más jóvenes muestran mayor apertura hacia soluciones más avanzadas. La Generación Z destaca por adoptar métodos de autenticación más modernos, como las claves de acceso (passkeys) o el inicio de sesión a través de redes sociales.

Google promueve especialmente el uso de passkeys, una tecnología que ofrece autenticación mediante criptografía de clave pública y privada a través del estándar WebAuthn. Según la FIDO Alliance, organización especializada en seguridad de datos, las passkeys son resistentes al phishing y están diseñadas para ser seguras por defecto. Se combinan junto a métodos de escáner biométrico y autenticación multifactor para no tener que introducir contraseñas.

Esta tecnología ayuda a reducir ataques que puedan comprometer nuestra seguridad. Además del phishing, también es eficaz contra otro tipo de ataques que ejecuten código de forma remota, sobre todo porque no existe una contraseña que pueda ser robada ni datos de conexión que puedan reutilizarse para futuros ataques. Para Google, es la tecnología que más beneficia a nuestra seguridad y que nos recomienda utilizar encarecidamente para proteger nuestras cuentas.

Alternativas para los que siguen usando contraseñas

Para quienes prefieren mantener métodos más convencionales, Google ofrece herramientas gratuitas como su propio gestor de contraseñas y Google Authenticator, siendo esta última la app para gestionar el acceso a otros servicios a través de técnicas de autenticación multifactor. Estas aplicaciones proporcionan una segunda línea de defensa. Aunque si quieres utilizar un gestor de contraseñas, lo más recomendado es utilizar un servicio que no esté vinculado con tu navegador o cuenta de Google.

Según el informe, Google ha bloqueado más del 99,9% del spam, phishing y malware en Gmail, mientras que funciones como la detección de estafas impulsada por inteligencia artificial en la app de Mensajes de Google ayuda a identificar fraudes relacionados con criptomonedas, finanzas y entregas falsas.

En Genbeta | Tres gestores de contraseñas gratuitos para almacenar contraseñas en local y no depender de la nube

La inteligencia artificial de Google ha dado un paso más en la integración con nuestro día a día. Durante el Google I/O fuimos conscientes de que Gemini, el asistente inteligente de la compañía, ya no solo resume nuestras búsquedas web, sino que ahora prácticamente lo tenemos hasta en la sopa para que se convierta en nuestro compañero de proyectos, sea el motor que haga de puente entre nosotros y el software de las próximas gafas con Android XR, e incluso nos permita obtener traducciones en tiempo real a través de Google Meet, entre otras muchas cosas.

Ahora, además de esos resúmenes en las búsquedas web  que a algunos no les ha convencido (y la transformación de Google con AI Mode que se viene), también se dispone a generar resúmenes de nuestros correos electrónicos en Gmail para dispositivos móviles. Esto lo hará de manera automática y sin que nosotros se lo pidamos, y aquí hay varias cuestiones que debemos abordar.

Qué ha cambiado en Gmail

Hasta ahora, si queríamos obtener un resumen de un hilo de correos en Gmail, teníamos que pulsar manualmente la opción de Gemini para resumir el correo. Este proceso abría el asistente en el panel lateral para mostrarnos un compendio del contenido. A partir de esta semana y para usuarios de habla inglesa, estos resúmenes aparecerán de forma automática en la parte superior de los mensajes en la app para móviles, sin necesidad de solicitarlos.

Tal y como explica Google en esta publicación oficial, la función se activa cuando Gmail detecta conversaciones largas o hilos con múltiples respuestas donde el asistente considere que necesiten ser sintetizados. No todos los correos recibirán este tratamiento: los mensajes promocionales, recibos u otro tipo de comunicaciones sencillas quedan excluidos del sistema.

Cómo funcionan los resúmenes automáticos

Cuando abres un hilo de correos en tu móvil, ya sea Android o iOS, verás que aparecerá una tarjeta de resumen en la parte superior del mensaje. Esta tarjeta extrae los puntos clave de toda la conversación y se actualiza automáticamente conforme llegan nuevas respuestas, manteniéndote al día sin esfuerzo adicional.

En Genbeta

Diseñar tu propia app sin programar una sola línea de código es posible: Google Stitch usa la IA de Gemini y lo puedes usar gratis

El sistema analiza el contenido completo del hilo y presenta la información más relevante de manera condensada, permitiendo entender el contexto general sin necesidad de leer mensaje por mensaje.

Para acceder a los resúmenes automáticos, los usuarios tendrán que tener activadas las funciones inteligentes en Gmail, Chat, Meet y el resto de herramientas de Google Workspace. Estas configuraciones de personalización deben estar habilitadas en los ajustes de la cuenta.

¿Y qué hay de la privacidad?

Según afirma la compañía en su documento de soporte, Google "no utiliza los datos de Workspace para entrenar o mejorar los modelos de IA generativa y de lenguaje que impulsan Gemini" sin permiso. Para los resúmenes automáticos, Gemini "no almacena tu solicitud o la respuesta generada sin tu permiso". Es decir, en teoría, los resúmenes se generan en tiempo real cuando abres un hilo de correos, pero no se guardan de forma permanente.

Google enfatiza que los datos "permanecen en Workspace" y no se utilizan para fines publicitarios. Eso sí, las interacciones con las funciones inteligentes (nuestro uso de Gemini por todo Google Workspace) se anonimizan y agregan antes de usarse para mejorar características como la protección contra spam o la corrección ortográfica.

Cómo desactivar los resúmenes si no los quieres

Si prefieres no ver estos resúmenes automáticos, tienes la opción de desactivarlos, aunque el proceso no es selectivo. Para eliminar las tarjetas de resumen automáticas, deberás deshabilitar completamente Gemini en Gmail, lo que también eliminará otras funciones de inteligencia artificial integradas en el servicio.

Los correos que no muestren tarjetas de resumen automáticas seguirán ofreciendo la opción manual de solicitar un resumen mediante el botón correspondiente o a través del panel lateral de Gemini.

Disponibilidad y planes de suscripción

La función está disponible para usuarios de varios planes de Google Workspace, incluyendo Business (Starter, Standard y Plus), Enterprise (Starter, Standard y Plus), Google One AI Premium, y aquellos con complementos de Gemini Education.

Los usuarios con cuentas educativas o empresariales dependerán de que sus administradores activen esta funcionalidad, ya que viene desactivada por defecto en regiones como Europa y Japón.

En Genbeta

Esta plataforma no sólo genera apps web con unos pocos clics e IA: también las comparte con el mundo como si fueran vídeos de YouTube

Gemini, una IA omnipresente en todo Google

Esta actualización forma parte de la estrategia de Google para integrar Gemini en todas sus herramientas de productividad. La compañía ya había introducido el año pasado los paneles laterales de Gemini en Documentos, Hojas de cálculo, presentaciones, Drive y Gmail, y ahora ha dado el salto para ofrecer esta integración de manera automática y conveniente para el usuario.

Aunque por ahora los usuarios de habla hispana tendremos que esperar para disfrutar de esta función, posiblemente no pase mucho tiempo hasta que tengamos esta característica habilitada.

Imagen de portada | Solen Feyissa y montaje propio

En Genbeta | En cinco años, la IA se cargará "hasta la mitad"  de los empleos de oficina, según este CEO. La democracia también está en  peligro

Mi cuenta de Gmail tiene dos décadas, así que como os podéis imaginar cuenta con un sinfín de correos importantes y también necesita una buena limpieza a fondo porque para sorpresa de nadie, a lo largo de este tiempo me he suscrito (consciente o inconscientemente) a listas de difusión, newsletter y demás que en la práctica me llenan mi correo de basura.

Afortunadamente y tras meses de espera desde que se anunciara, por fin ha comenzado el despliegue para acabar con las suscripciones de correo de Gmail en las cuentas españolas. Ya no hace falta ir correo a correo localizando la opción para desuscribirse (spoiler: suele estar abajo del todo, con una letra pequeñísima y a veces con otro color más suave) ni tampoco navegar por los menús buscando esta novedad, ya que Google lo ha dejado a la vista. Basta con tocar dos botones para cancelar suscripciones.

Cómo ver todas tus suscripciones activas en Gmail y darte de baja

Eso sí, está en fase de despliegue, por lo que toca tener algo de paciencia porque en algunas cuentas está ya y en otras no y en el caso de la app de gestión de correo, además asegurarse de que está actualizada. Este nuevo botón lista todas las suscripciones activas independientemente de lo antiguas que sean y además luego solo hay que ir paseando por ellas para darse de baja tras tocar otro botón.

Via: Xataka Android

Como puedes ver sobre estas líneas, el botón de 'Gestionar suscripciones' aparece en la columna de la izquierda de la interfaz, con un icono bastante descriptivo. En la versión de escritorio, surge al tocar sobre 'Más'.

Al tocar ese botón, Gmail analiza de cabo a rabo todo tu buzón de entrada en busca de esas direcciones de correo electrónico desde las que te llevan emails comerciales de forma periódicas, así te evitas buscarlas tú. Cuando limpiaba mi correo de vez en cuando recurría al truco de tirar del buscador para localizar palabras clave como 'Unsuscribe', pero ahora es más rápido, cómodo y efectivo.

Vía: Xataka Android

Y poco más: ya no habrá que ir yendo correo a correo o tener que esperar a que te envíen otro mail para darse de baja. En caso de que sigas recibiendo emails pese a darte de baja, envíalos directamente a la carpeta de Spam. Desde luego, con este nuevo botón tener el correo de Gmail más limpio es mucho más fácil.

En Genbeta | Cómo liberar espacio en Gmail y hacer limpieza con cuatro sencillos trucos y consejos extra

En Genbeta | Este trucazo te permite seguir usando tu correo electrónico de Gmail aunque te quedes sin espacio y gratis

Portada | Montaje con fotos de BM Amaro en Pexels y Steve Johnson en Pexels

Tradicionalmente, las ciberestafas basadas en phishing se basan más en la ingeniería social (es decir, en manipular al usuario) que en aprovecharse de complejidades técnicas.

Pero, en ocasiones, se descubren campañas de phishing tan sofisticadas que incluso son capaces de sortear (peor aún, de aprovecharse de) los mecanismos de seguridad de un gigante tecnológico como Google.

Este ataque en cuestión ha sido desvelado y analizado en X por una de sus víctimas. Te explicamos cómo funciona, qué lo hace tan peligroso y cómo puedes protegerte.

¿Qué ocurrió? Una campaña de phishing disfrazada de Google

Todo comenzó cuando múltiples usuarios comenzaron a recibir correos electrónicos que aparentaban provenir de no-reply@accounts.google.com, una dirección real y completamente legítima de Google. Los mensajes alertaban sobre una supuesta solicitud de seguridad, e incluían enlaces a páginas de soporte con apariencia oficial.

Lo más desconcertante es que estos correos pasaban todas los mecanismos de verificación de seguridad de Gmail, incluyendo SPF, DKIM y DMARC. Esto les permitió llegar a las bandejas de entrada de sus víctimas sin alertas ni advertencias, incluso agrupándose junto a mensajes auténticos de seguridad enviados por Google.

El arma secreta: 'DKIM Replay Attack'

La clave de esta campaña radica en una técnica avanzada conocida como ataque de reproducción DKIM, que aprovecha una debilidad en cómo funciona la autenticación de correos electrónicos, y que permite que los reenvíos de un mensaje legítimo sigan siendo detectados como legítimos.

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail)  es un sistema de seguridad que añade una especie de "firma digital" al contenido del correo. Esta firma sirve para demostrar al servidor de destino que el mensaje fue realmente enviado desde un dominio autorizado (como google.com) y que no fue modificado en tránsito.

En Genbeta

Ahora que estábamos empezando a 'ver venir' los e-mails de ciberestafas, llega una nueva técnica: el phishing de clonación

¿Cómo se explota DKIM en este caso?

1. Captura de un correo legítimo: El atacante obtiene un correo genuino enviado por Google a través de 'no-reply@accounts.google.com'.
2. Reenvío del mensaje sin alterar la firma: Como DKIM solo verifica que el contenido del mensaje no haya sido modificado, pero no controla desde qué servidor se reenvía ni quién lo reenvía, los atacantes pueden tomar un correo legítimo (como una alerta real de Google) y reenviarlo a otras personas. La firma DKIM seguirá siendo válida, por lo que el mensaje parecerá completamente auténtico a los ojos de Gmail y otros servicios de correo.
3. Uso de plataformas intermediarias: Para ocultar el rastro, los ciberdelincuentes reenvían el mensaje usando servicios intermedios como Outlook, Jellyfish SMTP y Namecheap PrivateEmail. Este último permite modificar el campo "Desde" a gusto del atacante.
4. Resultado final: El correo llega al destinatario final pasando todas las validaciones (SPF, DKIM, DMARC), pero con un contenido falso que solicita acciones urgentes como cargar documentos o iniciar sesión.

La trampa final: Google Sites como plataforma de engaño

Uno de los factores más alarmantes es el uso de Google Sites como herramienta para alojar páginas falsas que imitan a la perfección los portales de soporte de Google.

Los usuarios, al ver que el enlace lleva a un subdominio de 'google.com', bajan la guardia. Estas páginas pueden contener formularios para cargar documentos, botones falsos de "ver caso" y pantallas de inicio de sesión diseñadas para robar credenciales:

La vulnerabilidad se agrava porque Google Sites permite incrustar elementos interactivos como formularios y scripts, sin ofrecer una vía clara para denunciar contenido malicioso.

El truco del "me@dominio.com": cómo se engaña a Gmail

Uno de los aspectos más ingeniosos del ataque fue el uso de cuentas de Google con nombres como "me@dominio.com". Al reenviar el correo generado automáticamente por Google como alerta de seguridad OAuth, este aparece en la bandeja del usuario como si fuera una alerta personalizada para "me" ('yo', en inglés), una pequeña manipulación del lenguaje visual que genera una falsa sensación de autenticidad.

Además, los atacantes abusaron de la función de nombre de aplicación en el proceso de autenticación OAuth, llenándolo con todo el texto del mensaje falso. Esto les permitió generar alertas con contenido personalizado que parecen redactadas por Google, cuando en realidad son completamente ficticias.

¿Cómo detectar este tipo de fraudes?

Los fraudes de phishing han evolucionado. Ya no dependen de errores ortográficos ni direcciones sospechosas. Ahora se camuflan perfectamente entre comunicaciones legítimas.

En Genbeta

La estafa "más sofisticada" que este programador había visto casi le roba su cuenta de Gmail: cuidado con esta clase de llamadas

Aquí algunas señales de alerta:

• Enlaces sospechosos a subdominios como 'sites.google.com' en lugar de 'accounts.google.com'.
• Correos electrónicos inesperados que nos exigen acciones inmediatas.
• Mensajes que, aunque parecen legítimos, provienen de cadenas de reenvío inusuales.
• Solicitudes para subir documentos o iniciar sesión fuera del contexto habitual.

Recomendaciones de seguridad

1. No hagas clic en enlaces de correos sospechosos, incluso si parecen legítimos.
2. Verifica siempre la URL de las páginas a las que accedes.
3. Habilita la verificación en dos pasos en tu cuenta de Google.
4. Si eres profesional, usa un 'sandbox'.

¿Qué dice Google?

Inicialmente, Google no consideró esta vulnerabilidad como un problema de seguridad, indicando que "funcionaba como se esperaba". Sin embargo, tras la presión pública y reportes detallados, ha reconsiderado su postura y prometido corregir la explotación del sistema OAuth.

Imagen | Marcos Merino mediante IA

En Genbeta | Mucho cuidado si recibes una alerta de seguridad de Google cómo esta: éste es el pequeño detalle que revela que es una estafa 

Hace unos días Google anunció la implementación de un sistema de cifrado "de extremo a extremo" para los usuarios empresariales de Gmail, generando tanto expectativas como escepticismo entre expertos en seguridad.

Esta nueva característica, presentada como una solución innovadora, ha levantado un intenso debate sobre si realmente cumple con los estándares que definen a un verdadero sistema de cifrado de extremo a extremo (E2EE).

Cómo funciona el cifrado de extremo a extremo de Gmail

El mecanismo implementado por Google funciona de la siguiente manera: cuando un usuario redacta un correo electrónico y activa la función de cifrado, el mensaje se cifra directamente en el navegador (Chrome, Firefox u otro) antes de ser enviado. El correo permanece encriptado en todo momento y solo se descifra una vez que llega al navegador del destinatario, después de que éste se haya autenticado.

Para hacer esto posible, la organización del remitente debe desplegar un servidor de claves ligero conocido como KACL (lista de control de acceso de claves). Este servidor, que puede alojarse localmente o en servicios en la nube, genera y almacena las claves necesarias.

En Genbeta

Corea del Norte se financia con falsos empleados que se infiltran en compañías tecnológicas. Y ya van a por Europa, según Google

Cuando se envía un mensaje cifrado, el navegador del remitente se conecta al servidor KACL para obtener una clave simétrica efímera. El navegador cifra el mensaje y lo envía junto con una clave de referencia. El navegador del destinatario utiliza esta clave de referencia para descargar la clave simétrica del KACL y descifrar el mensaje, tras lo cual la clave se elimina.

Para evitar que nadie pueda interceptar el mensaje maliciosamente, el destinatario debe autenticarse previamente a través del proveedor de identidad que utilice la organización remitente (como Okta o Ping).

Para algunos expertos, el sistema de Gmail no es E2EE

Julien Duplant, gestor de producto de Google Workspace, contaba al medio Ars Technica que "la idea es que en ningún momento y de ninguna manera Gmail tenga la clave real. Nunca. Y nunca tenemos el contenido descifrado. Solo ocurre en el dispositivo del usuario".

Sin embargo, bajo definiciones más estrictas comúnmente utilizadas en círculos orientados en privacidad y seguridad, este sistema probablemente no se regiría bajo el concepto estricto que se tiene de un sistema de cifrado de extremo a extremo. Para los puristas, E2EE significa que solo el remitente y el destinatario tienen los medios necesarios para cifrar y descifrar el mensaje.

En el caso de Gmail, tal y como la compañía dice que está implementado el sistema, las personas dentro de la organización del remitente que gestionan el KACL tienen la custodia real de la clave. Es decir, aunque el cifrado y descifrado ocurren en los dispositivos de los usuarios finales, las claves son gestionadas por la organización del remitente. De esta manera, los administradores con acceso completo podrían interceptar las comunicaciones en cualquier momento.

Más allá del debate técnico, la forma en que Google ha implementado este sistema ha generado también otro tipo de críticas. Y es que tal y como cuenta Michał Sapka, experto ingeniero de software, en su blog, cuando un usuario de Gmail envía un correo "cifrado de extremo a extremo", el destinatario recibe un enlace y debe utilizar una versión "minimal" de Gmail para poder leerlo, incluso si nunca ha tenido una cuenta de Google.

Esta decisión ha sido interpretada por algunos como un "movimiento de poder" por parte de Google, ya que obliga a los destinatarios a utilizar un servicio de Google, una idea no muy bien recibida para aquellos que quieren desprenderse de los servicios de la compañía en todo momento.

En Genbeta

Dar los datos del DNI con una fotocopia sin editar no es seguro. Lo bueno de la app miDNI es que eso se acaba

Como indica la propia documentación de Google: "Los equipos de TI también tienen la opción de exigir que todos los destinatarios externos (incluso si son usuarios de Gmail) utilicen la versión restringida de Gmail. Esto ayuda a garantizar que los datos de su organización no terminen almacenados en servidores y dispositivos de terceros. También facilita a las organizaciones proteger sus datos al tener la capacidad de aplicar políticas de seguridad y revocar el acceso a los correos electrónicos, sin importar cuánto tiempo hace que se enviaron. Esencialmente, el correo electrónico E2EE se convierte en un documento en Google Drive, permitiendo al equipo de TI controlar su acceso."

Esta nueva característica tiene un valor añadido para organizaciones que deben cumplir con estrictas regulaciones que exigen cifrado de extremo a extremo, eliminando las complicaciones asociadas con sistemas tradicionales como S/MIME. Sin embargo, las dudas que ha sembrado el funcionamiento de este sistema hacen que muchos opinen que esta solución no es adecuada para consumidores o cualquier persona que desee tener control exclusivo sobre los mensajes que envía.

Para muchos, este sistema convierte a Google en el verdadero propietario del mensaje enviado, limitando la capacidad del destinatario para leer, buscar o manipular estos correos en sus propios términos, transformando su correo electrónico en un simple canal de notificaciones.

Imagen de portada | Foto de Justin Morgan en Unsplash

En Genbeta | La nueva app miDNI permite llevar el DNI en el móvil. Esto sabemos sobre la seguridad que ofrece

Michael Waltz, asesor de seguridad nacional de Donald Trump, se encuentra en el ojo del huracán tras revelarse que él (junto a varios miembros de su equipo) utilizaron sus cuentas personales de Gmail para realizar comunicaciones oficiales... algunas de ellas relacionadas con información militar sensible.

Esta nueva controversia, bautizada ya como 'Gmailgate', se suma al reciente escándalo de 'Signalgate', en el que el propio Waltz ya fue señalado como el responsable de invitar por error a un periodista a un grupo privado en la app de mensajería Signal, en el que varios miembros de la administración Trump debatieron abiertamente secretos militares.

Comunicaciones no seguras sobre conflictos militares

Según publica la prensa estadounidense, Waltz y un alto funcionario de su equipo emplearon cuentas de correo electrónico personales para intercambiar información técnica con otras agencias gubernamentales. Estas conversaciones incluían detalles sobre posiciones militares estratégicas y sistemas de armamento utilizados en un conflicto en curso, presuntamente la reciente operación en Yemen contra rebeldes hutíes (el mismo tema que se debatió en el citado grupo de Signal).

Las cabeceras de los correos revisadas por los medios muestran que mientras el equipo de Waltz usaba Gmail, sus interlocutores lo hacían desde cuentas oficiales, evidenciando así el incumplimiento de protocolos de ciberseguridad por parte del Consejo de Seguridad Nacional.

Desde luego, la polémica ha reavivado el debate sobre la laxitud con la que algunos altos funcionarios tratan la información confidencial. Eva Galperin, directora de ciberseguridad en la Electronic Frontier Foundation, subrayó que "salvo que se use cifrado GPG, los correos electrónicos pueden ser interceptados en múltiples puntos, incluyendo los servidores de Google".

En Genbeta

El problema de equivocarse al teclear: los secretos militares de EE.UU. llevan 10 años llegándole al proveedor de un país africano

Información "potencialmente explotable" enviada a Gmail

Aunque el portavoz del Consejo de Seguridad Nacional, Brian Hughes, insiste en que Waltz "no ha enviado información clasificada desde cuentas abiertas" y que siempre ha reenviado correos relevantes a su cuenta gubernamental para cumplir con las leyes de archivo (normas que, presuntamente, sí se vulneraron en el caso de Signal), varios medios estadounidenses citan fuentes internas que afirman lo contrario.

Por otra parte, los expertos advierten que incluso los datos no clasificados pueden ser tremendamente útiles para las agencias de inteligencia extranjeras, que pueden beneficiarse del mero acceso a los patrones de movimiento y reuniones de altos funcionarios.

Reacción de Trump (y la sombra de Clinton)

A pesar de la presión mediática y política, es poco probable que el Departamento de Justicia emprenda una investigación penal. Y pese a las críticas, el presidente Trump ha optado por mantener a Waltz en su cargo, según recogen los medios, más por no "darle una victoria a los medios progresistas" que por convicción personal.

Sin embargo, el daño a la reputación de Waltz es significativo: incluso los más cercanos a Trump han empezado a rescatar viejas declaraciones suyas de 2016 en las que se oponía al actual presidente.

Irónicamente, Waltz fue un crítico acérrimo de Hillary Clinton durante su propio escándalo por el uso de un servidor privado de e-mail en su etapa como secretaria de Estado de Barack Obama: llegó a exigir acciones judiciales firmes contra ella. Según clamaba en redes sociales en 2023 al recordar el caso:

"¿Qué hizo el Departamento de Justicia al respecto? Nada".

Vía | Washington Post

Imagen | Marcos Merino mediante IA

En Genbeta | El desastre del 'Signalgate' y el Gobierno Trump tiene su lado bueno. Esta app nació como proyecto hacker y ahora está en auge 

Andrej Karpathy es todo un referente en el sector de la inteligencia artificial. Cofundó OpenAI junto a Sam Altman y otros directivos de la compañía, también fue director de IA en Tesla y tras ello fundó EurekaLabs, una plataforma en la que poder aprender sobre IA a través de profesores expertos en la materia y asistentes de IA.

Además de su ajetreada vida, también saca tiempo para escribir sobre algunas cuestiones muy interesantes en su blog personal. Una de sus últimas publicaciones tiene que ver con la privacidad y seguridad en línea, recomendando una serie de herramientas para fortificar nuestra privacidad. Bajo estas líneas te lo contamos en detalle.

Gestores de contraseñas

Karpathy habla de que crear contraseñas robustas y diferentes en cada servicio debe ser nuestro "primer paso". En este sentido, para facilitar nuestra tarea, siempre podemos utilizar un gestor de contraseñas que permita generar y almacenar claves únicas para cada servicio. Este tipo de herramienta evita que se utilicen contraseñas débiles o repetidas, reduciendo el riesgo de que sean fácilmente descifradas o vulneradas.

Según Karpathy, servicios como 1Password resultan muy eficaces, ya que facilitan la creación, autocompletado y almacenamiento seguro de las claves, convirtiendo la gestión de contraseñas en un proceso sencillo y centralizado.

Autenticación de dos factores con dispositivos físicos

Imagen: Wikipedia

Para reforzar la seguridad de servicios críticos (como el propio gestor de contraseñas o plataformas de correo electrónico), para Karpathy es imprescindible además añadir métodos de autenticación de doble factor. Si bien es habitual que se utilicen códigos enviados por SMS, este método presenta riesgos, como los ataques de SIM swapping.

Karpathy recomienda el uso de llaves de seguridad basadas en hardware, como las YubiKey, que generan y almacenan claves privadas en un entorno seguro, haciendo que, para acceder a una cuenta, se necesite tanto la contraseña como el dispositivo físico.

Reconocimiento biométrico

Otra capa de seguridad se añade a través de métodos biométricos, que se basan en características inherentes al usuario. Lectores de huella dactilar o escáneres de nuestro rostro son buenas formas de añadir una capa adicional de seguridad a nuestros dispositivos e información.

Por ejemplo, en dispositivos Apple, el uso de FaceID resulta ser un complemento eficaz a la autenticación tradicional, facilitando un acceso rápido y seguro a aplicaciones sensibles. Lo mismo ocurre con Windows Hello en PC o los escáneres de huella en cualquier otro dispositivo móvil actual.

En Genbeta

Si no tienes más privacidad navegando es porque no quieres: cómo configurar el navegador y las extensiones para que no te rastreen

Respuestas a preguntas de seguridad

En la actualidad, las preguntas de seguridad tradicionales, tan populares en muchos servicios, pueden representar un riesgo ya que la información solicitada suele ser fácil de averiguar a través de ingeniería social.

Karpathy sugiere que se traten estas preguntas de forma similar a las contraseñas, generando respuestas aleatorias y almacenándolas de manera segura en el gestor de contraseñas, evitando así que se conviertan en una vulnerabilidad.

Cifrado de discos

Proteger la información almacenada en nuestros dispositivos es fundamental. Para ello, contamos con herramientas que nos permiten cifrar nuestro disco duro o unidad de almacenamiento.

Karpathy menciona la función FileVault en los ordenadores Mac, la cual garantiza que, en caso de robo o pérdida del equipo, los datos se mantengan inaccesibles para terceros. Windows cuenta con BitLocker, aunque también hay fantásticas aplicaciones de terceros que permiten cifrado en PC, como VeraCrypt.

Dispositivos inteligentes y privacidad

El auge de los dispositivos inteligentes ha generado una gran preocupación en materia de privacidad. A pesar de sus grandes beneficios, estos dispositivos conectados a Internet recopilan grandes cantidades de datos de usuario y, en muchas ocasiones, resultan ser muy vulnerables.

Según Karpathy, es recomendable evitar aquellos productos que, sin necesidad, requieran acceso a información personal y ubicación, ya que pueden convertirse en un foco de ataque. Si bien eliminar de raíz el uso de este tipo de dispositivos quizás no es una solución práctica para el usuario, sí podemos configurarlos de tal manera que nuestra privacidad esté mucho menos en juego.

Comunicación segura

Imagen: Signal

En cuanto a servicios de mensajería instantánea, Karpathy asegura que optar por aplicaciones que cifran las comunicaciones de extremo a extremo es crucial para preservar nuestra intimidad.

El experto hace uso de Signal, destacando que la app minimiza la retención de metadatos y permite configurar mensajes que se autodestruyen, limitando la exposición de datos sensibles. En España la más utilizada es WhatsApp, que desde hace un buen tiempo ha ido añadiendo funciones de seguridad cada vez más útiles, aunque Karpathy no la recomienda por el uso que hace de los metadatos. Telegram también tiene una importante cuota de usuarios, y además incluye la autodestrucción de mensajes, entre otras funciones.

Navegador y motor de búsqueda enfocados en la privacidad

Utilizar un navegador y motor de búsqueda que garantice nuestra seguridad y privacidad en la red es una tarea obligada para Karpathy. En este sentido, el experto hace uso de Brave ya que le permite navegar de forma segura sin sacrificar su experiencia de usuario.

Brave está basado en Chromium, por lo que ofrece compatibilidad con extensiones, pero bloquea de forma efectiva rastreadores y anuncios no deseados. Complementariamente, también usa Brave Search y paga por su plan 'Premium' (unos 3 dólares al mes). Karpathy asegura que prefiere "ser el usuario y no el producto", y en este principio es en el que se han basado sus recomendaciones.

Métodos de pago virtuales

Imagen: privacy.com

Para evitar que un mismo medio de pago se utilice en múltiples transacciones, lo que facilita la vinculación de datos por parte de los comerciantes, Karpathy recomienda generar tarjetas de crédito virtuales específicas para cada comercio.

En este sentido, Karpathy recomienda utilizar herramientas como privacy.com, las cuales permiten crear tarjetas desechables con límites configurables, protegiendo la identidad del usuario y evitando fraudes. Esta función también está presente en neobancos como Revolut.

Dirección postal virtual

Imagen: Virtual Post Mail

Compartir la dirección física indiscriminadamente añade un riesgo extra, aunque a veces no quede más remedio para nuestras compras, notificaciones y otras situaciones.

A pesar de que no es una medida muy común, Karpathy recurre a servicios de correo virtual, como Earth Class Mail o Virtual Post Mail. Estos ofrecen al usuario una dirección alternativa que podemos compartir con cualquier servicio y el correo físico llega a esa dirección, se digitaliza y se gestiona la correspondencia a través de una app, proporcionando tanto seguridad como comodidad en el manejo de la información personal. Los servicios mencionados prestan soluciones en Estados Unidos.

Correo electrónico

Aunque servicios de correo populares como Gmail resultan muy prácticos, para Karpathy, complementar estas cuentas con alternativas enfocadas en la privacidad, como Proton Mail, puede marcar una gran diferencia. El experto sigue utilizando Gmail, ya que lo considera muy conveniente, pero utiliza su cuenta de Google junto a Proton Mail para fortificar su privacidad.

Además, el experto recomienda evitar interactuar de forma directa con enlaces incluidos en mensajes y desactivar la carga automática de imágenes, ya que estos recursos pueden ser utilizados para rastrear la actividad del usuario.

VPN, bloqueadores de DNS y publicidad

El empleo de una VPN, permite ocultar la dirección IP y la ubicación del usuario, así como privatizar nuestro tráfico de red, ofreciendo un nivel extra de anonimato al acceder a determinados servicios.

Sin embargo, Karpathy aconseja utilizar esta herramienta de forma selectiva, ya que no todos los servicios VPN ofrecen la misma seguridad o están regidos bajo una compañía con buenas prácticas de privacidad. Karpathy hace uso de Mullvad, junto a bloqueadores DNS como NextDNS y soluciones como pi-hole para filtrar publicidad y rastreadores a nivel de red, añadiendo otra capa de protección sin necesidad de múltiples extensiones.

Monitorización del tráfico de red

Contar con aplicaciones que permiten visualizar en tiempo real la comunicación entre los diferentes programas instalados en el ordenador resulta muy útil para identificar comportamientos sospechosos.

Karpathy menciona programas como The Little Snitch, ya que facilitan la detección de aquellas aplicaciones que envían datos de forma inesperada, ayudando a mantener un control riguroso sobre el flujo de información.

Separación entre trabajo y vida personal

Por último, Karpathy asegura que es fundamental mantener una clara división entre el entorno profesional y el personal. En este sentido, utilizar los mismos dispositivos o redes para ambos ámbitos puede incrementar el riesgo de filtraciones, según Karpathy, ya que los equipos de trabajo suelen contar con software de supervisión.

Para ello, el experto recomienda segregar estas actividades y contribuir así a la protección de nuestros datos sensibles y a mantener una mayor privacidad en el día a día.

Imagen de portada | Thomas Lefebvre

En Genbeta | Esta lista es una joya con cientos de apps alternativas open-source y gratuitas que no recopilarán nuestros datos personales

Los procedimientos de seguridad digital están en constante evolución (como lo están las técnicas de los cibercriminales). Por ello, Gmail, el servicio de e-mail más usado en todo el mundo, ha decidido cambiar los suyos para proteger mejor a sus usuarios... y ha anunciado que reemplazará la autenticación mediante SMS por un nuevo sistema basado en códigos QR.

Un cambio necesario: el adiós a los SMS

Durante años, la verificación en dos pasos a través de SMS ha sido un pilar fundamental en la protección de cuentas online. Sin embargo, este método ha demostrado ser vulnerable a diversas amenazas, como el phishing, el SIM swapping y diversos ataques basados en la ingeniería social.

Ross Richendrfer, portavoz de Gmail, explicó que la autenticación por SMS, si bien es mejor que no contar con ningún método de verificación, presenta demasiados riesgos de seguridad que pueden ser explotados por actores malintencionados.

Es por eso que Google ha decidido abordar estos problemas eliminando progresivamente el uso de mensajes SMS para la autenticación en Gmail: según información revelada por Forbes, la compañía ha confirmado que este cambio se implementará en los próximos meses.

¿Cómo funcionará la autenticación con códigos QR?

El nuevo método de verificación reemplazará el tradicional código de seis dígitos enviado por SMS con un código QR generado en la pantalla de inicio de sesión. Para acceder a su cuenta, el usuario deberá escanear este código con la cámara de su smartphone.

En Genbeta

Qué es el quishing: cuando te estafan usando un código QR fraudulento

Este sistema elimina por completo el riesgo de que los usuarios sean engañados para compartir códigos de acceso, dado que ya no existirán en formato de texto.

Además, esta innovación evita la dependencia de las operadoras de telefonía móvil, cuyas medidas de seguridad pueden ser vulneradas con tácticas de fraude como el SMS spoofing.

También protege a la propia Google de una práctica fraudulenta creciente conocida como "traffic pumping" o "toll fraud", en la que delincuentes generan un alto volumen de mensajes SMS de verificación (por los que la compañía ha de pagar a la operadora de turno)... porque ellos mismos controlan los números a los que van dirigidos, por lo que se lucran con cada mensaje de verificación que solicitan para lucrarse con cada mensaje enviado.

¿Mayor seguridad o sólo un nuevo desafío?

Si bien la autenticación mediante códigos QR representa una mejora significativa en seguridad respecto a los SMS, no está exenta de riesgos. Los códigos QR ya han sido usados en el pasado en ataques de phishing, para redirigir a los usuarios a sitios maliciosos que pueden comprometer sus credenciales.

Dado que Google es consciente de estas amenazas, probablemente implementará capas adicionales de seguridad.

En cualquier caso, es importante destacar que este nuevo método de autenticación no será el único disponible para los usuarios de Gmail: Google ya ofrece diversas alternativas de seguridad, como claves de acceso basadas en hardware y aplicaciones de autenticación, que seguirán estando disponibles para aquellos que deseen una protección aún más robusta.

Imagen | Marcos Merino mediante IA

En Genbeta | La Guardia Civil advierte de que este mensaje no es del 'equipo de soporte de WhatsApp': es un timo que puede robarte la cuenta