In Interbel, Sistembel

Mantener nuestros datos seguros en la red es uno de los temas que genera mayor preocupación entre los navegantes de Internet. De ahí que este verano haya sido especialmente complicado para Google, puesto que su confianza y transparencia ha sido cuestionada tras varios rumores acerca de un posible filtrado de datos, concretamente de Gmail, hacia terceras empresas. Parece ser que se pudieron filtrar datos hacia los empleados de compañías desarrolladoras externas a Google, aunque Google lo desmiente. Sin embargo, los rumores afirmaban que estos datos llegaban a dichos empleados con el objetivo de ser leídos para extraer información de interés.

¿Cómo han llegado los datos a otras empresas externas?

Básicamente este filtrado se ha producido mediante el registro en aplicaciones de terceros usando la cuenta de Google, Gmail.

¿Dónde comenzó este rumor?

Dicho rumor empezó el día 2 de julio cuando la editorial de The Wall Street Journal escribió el artículo ‘Tech’s’ Dirty Secret ‘: los desarrolladores de aplicaciones examinando su Gmail:’

“[…] Pero el gigante de internet continúa permitiendo que cientos de desarrolladores de software escaneen las bandejas de entrada de millones de usuarios de Gmail que se registraron para servicios basados ​​en correo electrónico que ofrecen comparaciones de precios de compra, planificadores de itinerarios de viaje automatizados u otras herramientas. Google hace poco para controlar a los desarrolladores, … “.

Tras una inspección más cercana por parte de Earny, la herramienta en línea mencionada en el artículo de The Wall Street Journal, queda claro que no solo es compatible con Yahoo! y buzones de correo de Microsoft junto con cuentas de Google, ya que también puede otorgar acceso a buzones de correo de cualquier otro proveedor a través del enlace ‘Otro proveedor’. A diferencia de Google, Yahoo!, y Microsoft, que admiten el método de inicio de sesión OAuth moderno, Earny solicita credenciales de acceso para acceder al buzón respectivo.

Máximo control, gracias a OAuth

La principal diferencia entre las credenciales de acceso de reenvío y la autorización de aplicaciones o servicios en línea a través de OAuth es la opción de controlar individualmente el alcance preciso del acceso para cada aplicación o servicio en línea, y revocar esto de nuevo si es necesario.

Si un usuario autoriza a una aplicación a acceder a su cuenta Google, Yahoo!, o Microsoft por primera vez, se les mostrará quién ha solicitado acceso en el diálogo de consentimiento. Además, a menudo se enviará un correo electrónico para informar al titular de la cuenta sobre esta actividad.

Las cosas no fueron mejores ‘antes’

Con demasiada frecuencia, se conocen casos en los que ha habido ataques cibernéticos en los que se han apropiado de la información de las cuentas de los usuarios y los datos se han utilizado incorrectamente para enviar spam o virus, por ejemplo, o bien se han usado para acceder a datos confidenciales como la información de la tarjeta de crédito, todo como consecuencia de uso de contraseñas débiles o robadas.

Es por este motivo que Google, Yahoo!, y Microsoft han estado haciendo mucho trabajo en los últimos años para evitar este tipo de uso indebido y hacer que el acceso a la cuenta sea más seguro. Estas medidas incluyen la introducción de autenticación de múltiples factores, la autorización de aplicaciones o servicios en línea usando OAuth y el bloqueo de ‘aplicaciones inseguras’. Este último término se refiere a las aplicaciones que tienen que obtener el nombre de usuario y la contraseña para acceder a la cuenta respectiva. Sin embargo, esto significa que inevitablemente terminará otorgando acceso ilimitado a toda la cuenta, incluidos sus contactos, calendario u otros datos que quizás ni siquiera sean necesarios para el propósito real de la aplicación.

Cabe decir que el método de inicio de sesión seguro de OAuth es compatible con MailStore Server y MailStore Home desde la versión 9.7 al archivar buzones de Gmail, lo que significa que nuestros productos se consideran aplicaciones seguras desde la perspectiva de Google.

Una cuestión de confianza

Si bien los datos de usuario y las credenciales de acceso de OAuth permanecen en el ordenador personal para aplicaciones estándar como MailStore Server y MailStore Home, este no suele ser el caso de los servicios en línea. Las credenciales de acceso y los datos del usuario, si es necesario, se almacenan y procesan en los servidores del proveedor del servicio. Los desarrolladores que entran en contacto con los datos para mejorar constantemente los servicios ofrecidos son casi inevitables para los servicios en línea que principalmente giran en torno a la comprensión adecuada de los contenidos del correo electrónico y la ejecución de acciones automáticas.

En última instancia, esto genera la pregunta de si empresas como Google, Yahoo!, y Microsoft son responsables de lo que hacen las aplicaciones de terceros o los servicios en línea con los datos de sus usuarios. Para utilizar OAuth, el desarrollador respectivo primero debe registrar su aplicación en Google, Yahoo!, o Microsoft, y como parte del proceso define el permiso requerido para su aplicación o servicio particular. Esta es la única forma para que el usuario obtenga el control descrito anteriormente y, por lo tanto, les garantiza el máximo nivel de transparencia.

Sin embargo, finalmente siempre es el usuario el responsable de depositar su confianza en una aplicación o un servicio en línea y otorgarle acceso a su buzón, con o sin las opciones que ofrece OAuth.

Como regla general, los usuarios de servicios y aplicaciones en línea siempre deben hacerse las siguientes preguntas:

¿Cuál es el modelo comercial detrás de este servicio o aplicación?

¿Qué tan confiable es la compañía que ofrece el servicio o la aplicación?

¿Qué derechos de acceso necesita el servicio o la aplicación, y esto tiene sentido en el contexto de la aplicación?

Los empleados de MailStore no acceden a correos electrónicos archivados

En MailStore también recibimos consultas de usuarios que nos preguntan si tenemos acceso a los correos electrónicos archivados de nuestros clientes. Podemos decir con buena conciencia que no lo hacemos, ya que nuestros productos son instalados y operados por nuestros clientes en sus propios sistemas.

Recommended Posts

Dejar un comentario

Start typing and press Enter to search

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación, y ofrecer contenidos de interés. Al continuar con la navegación entendemos que se acepta nuestra Política de cookies. Política de cookies ACEPTAR

Aviso de cookies
Copia de seguridad Backupassist