Google elimina el acceso a aplicaciones de terceros menos seguras

/en /por

Es muy posible que en los últimos días hayas recibido en tu correo electrónico el siguiente aviso y no entiendas muy bien lo que quiere decir ni cómo te puede afectar. 

Vamos a tratar de aclararlo.

¿Quién recibe este aviso?

Todos los titulares de cuentas de Google. Tarde o temprano, va a recibir este correo tanto si es usuario de Google Workspace (servicio de Google que proporciona aplicaciones de productividad, herramientas de colaboración y almacenamiento en la nube en un solo paquete para pequeña, mediana o gran empresa) o si es titular de una cuenta gratuita @gmail.com.

¿Qué nos comunican?

Que, a partir del 30 de septiembre de 2024, las cuentas de Google no se podrán seguir asociando a aplicaciones de terceros que utilicen la autenticación básica, es decir, que sólo pidan usuario y contraseña en la autenticación del usuario.

¿Por qué Google hace esto?

Las aplicaciones menos seguras pueden facilitar que los hackers accedan a su cuenta, lo que puede exponernos a robos de información o ataques de suplantación de identidad entre otros riesgos.

¿A qué aplicaciones de terceros se refiere el comunicado?

A todas las aplicaciones de terceros que utilizan la cuenta de Google para autenticarse, acceder a datos, tales como el correo, el calendario, los contactos, otros servicios e incluso escáneres y otros dispositivos.

Importante reiterar que sólo aplica a aplicaciones de terceros, que no son de Google o que no cumplen su política de seguridad (OAuth). Si usted usa por ejemplo Gmail, Google Calendar, Contactos de Google este correo no le afecta.

Si no está seguro de si alguna de sus aplicaciones utiliza la autenticación básica menos segura (LSA), puede comprobarlo en la configuración de la aplicación. Por lo general, la autenticación básica se indica como «Iniciar sesión con tu nombre de usuario y contraseña».

¿Cuáles son las aplicaciones que ya cumplen el protocolo de Google?

A continuación listamos algunas de las aplicaciones más populares que ya cumplen con la política de seguridad de Google (protocolo OAuth):

  • Clientes de correo electrónico de terceros:
    • Apple Mail.
    • Outlook.
    • Thunderbird.
    • Mailbird.
    • eM Client.
    • Mailfence.
  • Aplicaciones de calendario:
    • Apple Calendar.
    • Outlook Calendar.
    • Google Calendar.
    • CalDAV-Sync.
    • Lightning Calendar.
    • iCal.
  • Aplicaciones de contactos:
    • Apple Contacts.
    • Outlook Contacts.
    • Google Contacts.
    • AddressBook X.
    • CardDAV-Sync.
    • vCard.
  • Aplicaciones de sincronización de datos:
    • Microsoft OneDrive.
    • Dropbox.
    • Google Drive.
    • Nextcloud.
    • OwnCloud.
    • Syncthing.
  • Aplicaciones de redes sociales:
    • Facebook.
    • X (ex Twitter).
    • LinkedIn.
    • Telegram.
    • Signal.
  • Aplicaciones de comercio electrónico:
    • Amazon.
    • eBay.
    • Etsy.
    • Shopify.
    • WooCommerce.
    • Magento.
  • Plataformas de streaming:
    • Netflix.
    • Disney+.
    • Amazon Prime Video.
  • Aplicaciones de productividad: 
    • Evernote.
    • Todoist.
    • Trello.
    • Asana.
  • Aplicaciones de finanzas:
    • Mint.
    • Quicken.
    • YNAB.
    • Personal Capital.
    • Moneydance.
  • Aplicaciones de salud:
    • Fitbit.
    • Google Fit.
    • MyFitnessPal.
    • Lose It!.

Si utiliza alguna de estas aplicaciones, no tendrá que preocuparse ni hacer nada.

Sin embargo hay otras aplicaciones muy utilizadas que no implementan el protocolo seguro de autenticación al que hace Google referencia, sin que ellos signifique necesariamente que sean menos seguras:

  • Aplicaciones de redes sociales:
    • WhatsApp: en 2021 anunció que planeaba implementar OAuth en un futuro próximo.
  • Plataformas de streaming:
    • HBO Max: requiere que los usuarios creen una cuenta con su dirección de correo electrónico y contraseña.
    • Hulu: requiere que los usuarios creen una cuenta con su dirección de correo electrónico y contraseña.
    • Apple TV+: requiere que los usuarios creen una cuenta con su ID de Apple con lo que la seguridad, en principio, está garantizada.
  • Aplicaciones de productividad: 
    • OneNote: de Microsoft. Microsoft utiliza su propio protocolo de autenticación, llamado Azure Active Directory con lo que la seguridad, en principio, está garantizada.
  • Aplicaciones de salud:
    • Apple Health: servicio de salud privado de Apple, por lo tanto no permite iniciar sesión con cuentas de terceros y la seguridad, en principio, está garantizada.. Si utiliza Apple Health y quiere acceder a sus datos de salud en otras aplicaciones puede exportar sus datos de salud a un archivo CSV o XML y luego importar estos datos a otras aplicaciones que admiten OAuth.

Es importante señalar que estas listas no son exhaustivas. Es posible que haya otras aplicaciones que cumplan o no con OAuth y pueden cambiar sus requisitos de autenticación en cualquier momento, por lo que siempre es recomendable comprobar en la configuración de la aplicación si admite OAuth.

Con esto ya está básicamente todo explicado, esperamos haberle ayudado. Ahora vamos a intentar decir lo mismo pero de una forma un poco más técnica.

El correo enviado habla sobre la eliminación del soporte de Google Sync a las aplicaciones menos seguras (LSA de Less Secure Application). Esta medida se tomó para mejorar la seguridad de las cuentas de Google. 

Google Sync es un servicio de sincronización de archivos de Google que permite la sincronización de Gmail, Google Contacts y Google Calendar con aplicaciones de correo, calendario y libreta de direcciones de dispositivos móviles y PC como las citadas anteriormente.

¿Qué es y cómo funciona OAuth?

Desde el 30 de mayo de 2022, Google ya no admite el uso de aplicaciones o dispositivos de terceros que le soliciten que inicie sesión en su cuenta de Google utilizando sólo su nombre de usuario y contraseña. Si una aplicación o sitio no cumple con los estándares de seguridad de Google empleando OAuth, es posible que esta bloquee cualquier intento de inicio de sesión desde él. Google Workspace eliminará el acceso a las aplicaciones menos seguras a partir del 15 de junio de 2024. 

OAuth es un protocolo de autorización abierto, más seguro que la autenticación básica, que permite a los usuarios autorizar a aplicaciones de terceros a acceder a sus datos en un servicio en línea sin tener que compartir sus credenciales de inicio de sesión.

OAuth funciona de la siguiente manera:

  1. El usuario inicia sesión en la aplicación de terceros.
  2. La aplicación de terceros solicita acceso a los datos del usuario.
  3. El servicio en línea genera un token de acceso para la aplicación de terceros.
  4. La aplicación de terceros utiliza el token de acceso para acceder a los datos del usuario.

¿Qué debería hacer para continuar utilizando estas aplicaciones de terceros con sus cuentas de Google Workspace o gmail?:

  • Los usuarios deben migrar a un tipo de acceso más seguro llamado OAuth.
  • Si su organización utiliza herramientas personalizadas, solicite al desarrollador de la herramienta que la actualice para usar OAuth.
  • Si utiliza un proveedor de administración de dispositivos móviles (MDM) para configurar perfiles IMAP, CalDAV, CardDAV o POP, estos servicios se eliminarán gradualmente según el siguiente calendario:
    • A partir del 15 de junio de 2024, el MDM push de IMAP, CalDAV, CardDAV y POP basado en contraseñas ya no funcionará para los clientes que intenten conectarse por primera vez.
    • A partir del 30 de septiembre de 2024, el MDM push de IMAP, CalDAV, CardDAV y POP basado en contraseñas ya no funcionará para los usuarios existentes.
  • Para los escáneres y otros dispositivos que utilizan el protocolo SMTP o LSA para enviar correos electrónicos, configure para que utilice OAuth, utilice un método alternativo o configure una contraseña de aplicación para el dispositivo.
  • Si reemplaza su dispositivo, busque uno que envíe correo electrónico usando OAuth.

Si necesita ayuda puede leer más en Less secure apps & your Google Account – Google Account Help