Expertos critican la seguridad del e-mail y cloud de Google

18 Jun 2009 en Seguridad

38 expertos firman una carta abierta a Eric Schmidt, CEO de Google. Entre ellos están notables como Bruce Schneier, Ben Edelman y Jeff Moss. En la carta dice que Google podría establecer estándares para seguridad en servicios cloud habilitando HTTPS (Hyper Text Transfer Protocol Security) y otros dispositivos por defecto.
La carta está dirigida a Google por su peso en el mercado, ya que existen muchas otras compañías igualmente en falta. “Google no es la única compañía Web 2.0 con usuarios vulnerables al robo de datos y hijacking de sus cuentas. Los de Microsoft Hotmail, Yahoo Mail, Facebook y MySpace, también son vulnerables,” dice la carta.
Google respondió “que HTTPS mostró ser positivo para usuarios expertos que lo han activado por defecto. El costo adicional de HTTPS no es lo que nos detiene. Queremos medir el impacto en la experiencia de uso de la gente, analizar los datos y ver que no tenga efectos negativos,” dice Alma Whiteen, ingeniero de software de Google.
Christopher Soghoian, Ph.D. e investigador de la Universidad de Harvard, organizó el grupo. El propósito de la carta fue “que Google y otros hagan lo correcto. Que ofrezcan a los usuarios cifrado a nivel de transporte para protegerlos cuando ven su e-mail o usan otros servicios cloud desde redes no confiables como puntos públicos en cafés, bibliotecas o universidades,” dijo Soghoian.
¿Por qué dirigirse a Google? Porque es el mejor y no el peor en su área, fue la respuesta. “Google ya ofrece HTTPS, pero no por defecto. Creo que conviene presionar a Google para que lo establezca por defecto. Tengo la esperanza de que las demás compañías sigan su ejemplo,” agregó
La seguridad de los servicios cloud de Google fue cuestionada por diversas fuentes y eventos de dominio público. Ataques a otros servicios como Facebook y Twitter o HotJobs de Yahoo, han mostrado brechas. Google misma sufrió en carne propia el problema: los números de seguridad social de sus empleados fueron expuestos en una brecha detectada el año pasado.
“Tomamos la seguridad muy en serio y estamos orgullosos de nuestro desempeño ofreciendo seguridad para aplicaciones gratuitas en la Web,” concluye diciendo el blog de Whitten.