En Segu-info han publicado una nota traducida de Information Security Tips and Tricks donde se hace referencia a la nueva funcionalidad de Google que permite realizar búsquedas cifradas.
Esto significa que al realizar búsquedas en https://www.google.com la información entre nuestra computadora y los servidores de Google viaja de forma segura, de esta forma nadie podría «leer» las búsquedas que se realizan aunque la comunicación sea interceptada. Además al estar logueados en la cuenta de Google nos mantendríamos siempre bajo el protocolo seguro, actualmente el https aparece en el panel de control de la cuenta y en algunos servicios.
Búsquedas cifradas y compatibilidad con las herramientas:
En Information Security Tips and Tricks ha hecho una interesante observación que afecta a los complementos de seguridad como McAfee SiteAdvisor y similares. Estos complementos analizan los resultados de búsqueda y nos ayudan a determinar si un sitio es peligroso o fraudulento, un ejemplo se puede ver en la siguiente imagen:
El problema con la nueva funcionalidad de Google es que la información no puede ser analizada por estas herramientas, al ser una comunicación cifrada no se puede leer y los complementos no pueden verificar la seguridad y autenticidad de los resultados. Ejemplos:
Búsqueda normal con SiteAdvisor instalado:
Búsqueda cifrada con SiteAdvisor instalado:
En la segunda imagen los iconos del complemento no aparecen porque los resultados no pueden ser analizados, esto supone un riesgo de seguridad para los usuarios. Cabe mencionar que Google hace lo mismo y muestra advertencias en sitios peligrosos, pero no hay nada que sea 100% efectivo.
Google es el único que se queda con la información:
Este nuevo chiche de Google no sólo afecta a los complementos de seguridad, sino a cualquiera que trabaje con la información de los resultados de búsqueda como, por ejemplo, la barra de Alexa. Si bien de momento es algo que está en desarrollo (beta) y Google no lo impone por defecto, en el futuro tal vez lo hagan y todos los complementos necesitarán ser actualizados o se quedarán fuera de la movida.
Google quiere más seguridad para los usuarios, pero ¿a quién le precupa que se puedan leer las búsquedas realizadas? si alguien te está espiando (sniffeando) la conexión lo último que le interesaría sería eso, además igualmente podrían conocer tus preferencias de navegación al ver las páginas que visitas. Y para los equipos infectados, una comunicación cifrada con Google no cambia demasiado el panorama, si la PC está infectada no se puede confiar en nada de lo que aparece en la pantalla.
Lo único bueno que le veo a la funcionalidad es que se podría mantener toda la sesión bajo el protocolo https, pero antes de preocuparse por el buscador, podrían implementarlo en otros servicios como Blogger que sólo cifra la comunicación durante el login.
Ver también:
Video: demostración de robo de cookies en Gmail.