Una nueva investigación ha revelado que los servicios de correo electrónico de Google Workspace y Microsoft 365 pueden poner en riesgo información confidencial, incluso cuando todo parece estar funcionando normalmente.
El problema radica en el comportamiento predeterminado de estas plataformas, que continúan entregando mensajes incluso cuando falla el cifrado y, lo que es peor, sin alertar al remitente sobre lo ocurrido.
Según el informe de la empresa de seguridad Paubox:
- Microsoft envía correos electrónicos en texto plano si el cifrado falla, sin ninguna advertencia.
- Google permite que los mensajes se entreguen utilizando protocolos de seguridad obsoletos, como TLS 1.0 y 1.1, considerados inseguros durante años.
En ambos casos, la falla pasa desapercibida, haciendo que el usuario crea que sus datos han sido protegidos correctamente.
Este tipo de comportamiento representa un gran riesgo, especialmente en sectores como el de la salud, donde la información personal y médica se intercambia frecuentemente por correo electrónico. En 2024, Microsoft 365 estuvo presente en el 43% de las violaciones de datos que involucraron correos electrónicos en este sector.
Incluso las organizaciones que adoptan medidas como la exigencia de TLS pueden estar vulnerables, ya que el sistema no garantiza el uso de versiones más seguras ni alerta cuando esto no ocurre.
El caso de Solara Medical Supplies, que tuvo que pagar más de 12 millones de dólares después de que el envío de correos electrónicos no cifrados expusiera más de 114,000 registros de pacientes, es un ejemplo del impacto de estas fallas silenciosas.
