Información sobre el cifrado por parte del cliente

Ediciones compatibles con esta función: Enterprise y Education Standard y Education Plus.  Comparar ediciones

Para cifrar los datos de tu organización, puedes usar tus propias claves de cifrado, además del cifrado predeterminado que proporciona Google Workspace. Con el cifrado por parte del cliente (CPC) de Google Workspace, el cifrado del contenido se gestiona en el navegador del cliente antes de transmitir datos o almacenarlos en la nube de Drive. De este modo, los servidores de Google no pueden acceder a tus claves de cifrado ni descifrar tus datos.

Para usar el CPC, tendrás que conectar Google Workspace a un servicio externo de claves de cifrado y a un proveedor de identidades. 

Tus usuarios pueden compartir archivos cifrados por parte del cliente internamente o con organizaciones externas, si estas también utilizan Google Workspace y configuran el CPC.

Ventajas de usar el CPC

Google Workspace ya utiliza los últimos estándares criptográficos para cifrar todos los datos, tanto en reposo como en tránsito, en sus instalaciones. No obstante, con el CPC, puedes controlar directamente las claves de cifrado y el proveedor de identidades que utilizas para acceder a ellas. Este control adicional puede ayudarte a reforzar la confidencialidad de tus datos sensibles o regulados. 

Es posible que tu organización tenga que utilizar el CPC por varios motivos, por ejemplo:

  • Privacidad: tu organización trabaja con propiedad intelectual extremadamente sensible.
  • Cumplimiento de las normativas: tu organización opera en un sector muy regulado, como el aeroespacial y el de defensa, los servicios financieros o la administración.

Disponibilidad del CPC

Por ahora, el cifrado por parte del cliente de Google Workspace solo está disponible para los siguientes datos:

  • Datos de Google Drive, incluidos los archivos creados con editores de Documentos de Google (documentos, hojas de cálculo y presentaciones) y archivos subidos, como PDFs y archivos de Microsoft Office.
  • Emisiones de audio y vídeo de Google Meet (beta), incluidas las pantallas compartidas, transmitidas entre los participantes de una reunión y Google.

Esta función estará disponible en otros servicios de Google en una versión posterior.

Primeros pasos con el CPC

Abrir sección  |  Ocultar todo y volver al principio

Vista general de los pasos de configuración del CPC

A continuación, se indican los pasos básicos para configurar el CPC de Google Workspace.

Paso 1: Configura el servicio de claves de cifrado externo

En primer lugar, tienes que configurar un servicio de claves de cifrado a través de uno de los servicios de partners de Google, o bien crear tu propio servicio con la API de CPC de Google. Este servicio controla las claves de cifrado de nivel superior que protegen tus datos. Más información

Paso 2: Conecta Google Workspace a tu servicio de claves externo

A continuación, añade la ubicación (URL) del servicio de claves externo para que Google Workspace pueda usar el CPC en las aplicaciones compatibles. Más información

Paso 3: Conecta Google Workspace a tu proveedor de identidades

Para completar este paso, deberás conectarte a un proveedor de identidades de terceros o a una identidad de Google, ya sea mediante la consola de administración o con un archivo .well-known alojado en tu servidor. Tu proveedor de identidades verifica la identidad de los usuarios antes de permitirles que cifren contenido o accedan a contenido cifrado. Más información

Paso 4: Activa el CPC para los usuarios

Puedes activar el CPC en cualquier unidad organizativa o grupo de tu organización. Sin embargo, debes activar el CPC solo para aquellos usuarios que necesiten crear contenido cifrado por parte del cliente:

  • Google Drive: debes activar el CPC únicamente para los usuarios que necesiten crear documentos, hojas de cálculo y presentaciones cifrados por parte del cliente o que tengan que subir archivos cifrados por parte del cliente a Drive. No es necesario que la actives en las cuentas de usuarios que solo ven y editan archivos compartidos con ellos.
  • Google Meet (beta): debes activar el CPC únicamente para los usuarios que necesiten organizar reuniones con ese tipo de cifrado. No es necesario que la actives para otros participantes en las reuniones.

Para obtener más información sobre cómo activar el CPC para los usuarios, consulta el artículo Crear políticas de cifrado por parte del cliente.

Experiencia de usuario con el CPC

Una vez que hayas configurado el CPC en tu organización, los usuarios para los que la habilites podrán utilizar esta función con los servicios siguientes.

Google Drive

Los usuarios pueden crear documentos cifrados por parte del cliente mediante editores de Documentos de Google (como documentos y hojas de cálculo) o cifrar archivos que suban a Drive (como PDFs).

Algunas funciones no están disponibles con archivos cifrados. Por ejemplo:

  • Si se crea un archivo cifrado con los editores de Documentos de Google, las funciones de revisión ortográfica y gramatical no funcionarán. Además, solo un colaborador puede editar un documento cifrado cada vez. Sin embargo, cualquier número de usuarios puede ver un documento cifrado al mismo tiempo.
  • Si se cifra y se sube un archivo a Drive, las funciones de búsqueda en todo el texto y de vista previa de archivos no funcionarán.

Drive para ordenadores

Puedes configurar el CPC para Drive para ordenadores cuando conectes Google Workspace a tu proveedor de identidades. 

Drive para ordenadores muestra los archivos cifrados sincronizados como accesos directos en Windows y como enlaces simbólicos en Mac. Si un usuario hace clic en un acceso directo o en un enlace a un archivo cifrado de Documentos, Hojas de cálculo o Presentaciones, se abrirá una nueva ventana del navegador.

Los usuarios también pueden hacer lo siguiente:

  • Cifrar y subir un archivo local 
  • Leer y editar algunos tipos de archivos cifrados, como PDFs y archivos de Microsoft Office

Evita almacenar información sensible descifrada en Drive: informa a los usuarios de Drive para ordenadores de que si utilizan la opción Descargar y descifrar de Drive, deben evitar almacenar los archivos descifrados de las carpetas locales que se sincronizan con Drive.

Más información

Puedes encontrar más información sobre la experiencia de usuario y las limitaciones del CPC en Google Drive en los siguientes recursos:

Google Meet (beta)

Los usuarios pueden organizar reuniones cifradas por parte del cliente seleccionando una opción para añadir cifrado al programar la reunión en Google Calendar o al iniciar una reunión instantánea (no programada).

Algunas funciones aún no están disponibles con reuniones cifradas. Por ejemplo:

  • Grabación de reuniones (si la grabación se guarda en Drive)
  • Emisión en directo
  • Usar un teléfono para el audio
  • Chat
  • Encuestas
  • Pizarra
  • Hardware de salas de reuniones y aplicaciones móviles (próximamente)
Posible pérdida de datos si inhabilitas o destruyes tus claves
Advertencia: Si inhabilitas o destruyes una clave de cifrado utilizada para cifrar archivos en Drive, las aplicaciones de Google Workspace no podrán descifrar esos archivos. Eso significa que los usuarios no podrán ver, editar, descargar ni utilizar esos archivos de ningún modo. Antes de utilizar la encriptación por parte del cliente, habla con tu servicio de claves externo sobre cómo proteger las claves, incluidas las opciones de copia de seguridad y restauración. También debes planificar cuidadosamente cualquier cambio en el servicio de claves para evitar que los servicios de los usuarios se vean afectados.
Requisitos del CPC

Requisitos de administrador

 Para poder configurar el cifrado por parte del cliente de Google Workspace en tu organización, debes ser superadministrador de Google Workspace.

Requisitos de los usuarios

  • Los usuarios deben tener una licencia de Google Workspace Enterprise Plus o Google Workspace Education Plus si quieren utilizar el CPC con acciones como:
    • Crear o subir archivos
    • Organizar reuniones
  • Para otras acciones como las siguientes, los usuarios pueden tener cualquier tipo de licencia de Google Workspace o de Cloud Identity:
    • Ver, editar o descargar un archivo ya cifrado con CPC
    • Unirse a una reunión con CPC
  • Los usuarios que tengan una cuenta de consumidor de Google (como los usuarios de Gmail) no pueden acceder a archivos CPC ni participar en reuniones con este cifrado.
  • Para ver o editar archivos cifrados, los usuarios deben utilizar el navegador Google Chrome o Microsoft Edge (Chromium).
  • Para poder unirse a una reunión con CPC, los usuarios deben ser invitados o añadidos durante la reunión. No se puede solicitar que te unan a reuniones CPC.
  • El acceso a las reuniones y a los archivos CPC depende de las políticas de CPC de tu organización.

Requisitos de usuarios externos

  • Las organizaciones externas con las que colaborarán tus usuarios también deben configurar el CPC, ya sea en la consola de administración o con un archivo .well-known.
  • Los usuarios externos deben tener una licencia de Google Workspace para acceder a tu contenido cifrado con CPC. Los usuarios que tengan una cuenta de Google de consumidor o una cuenta de visitante no pueden acceder a archivos CPC.
  • Tu servicio de cifrado externo debe incluir en su lista de permitidos el servicio del proveedor de identidades externo que utilizan los usuarios de la organización tercera con los que quieres que tus usuarios compartan archivos CPC. Normalmente, el servicio del proveedor de identidades se puede encontrar en su archivo .well-known disponible públicamente, si han creado uno. Si no es así, ponte en contacto con el administrador de Google Workspace de la organización externa para que te indique los detalles de su proveedor de identidades.
Los usuarios externos deben compartir información de identidad: informa al administrador de la organización externa de que los usuarios deben proporcionar su token de autenticación a tu servicio de claves para poder ver o editar los archivos cifrados de tu organización. El proceso de autenticación requiere que un usuario comparta su dirección IP y otros datos. Para obtener más información, consulta la sección Tokens de autenticación de la guía de referencia de API del cifrado por parte del cliente.
Ver registros e informes del CPC

Puedes ver los registros e informes de CPC de Drive que se indican a continuación. Los registros e informes aún no están disponibles en Meet.

Registro de auditoría

Consulta el historial de cambios de los ajustes de CPC de tu organización.

Ve a Informesy luegoRegistro de auditoríay luegoAdministrador.

Informe de subida y descarga de archivos cifrados

Recibe un informe sobre el número de archivos cifrados que se han subido y descargado a lo largo del tiempo.

Ve a Seguridady luegoPanel de controly luegoCifrado por parte del cliente

Informe de investigación de archivos cifrados

Utiliza la herramienta de investigación de seguridad para generar un informe sobre la actividad de Drive en relación con archivos cifrados.

  1. Ve a Seguridady luegoHerramienta de investigación.
  2. Haz clic en Fuente de datos y luegoEventos de registro de Drive.
  3. Haz clic en Añadir condición y luegoAñadir condición y luegoCifrados.
  4. Define la condición como Verdadero.
  5. Haz clic en Buscar.

Preguntas frecuentes sobre el cifrado por parte del cliente

Abrir sección  |  Ocultar todo y volver al principio

Preguntas generales

¿Dónde puedo encontrar información sobre el cifrado predeterminado de Google?
Consulta más información sobre el cifrado predeterminado de Google en el sitio de Google Cloud.
¿En qué se diferencia el CPC del cifrado de extremo a extremo (e2e)?
Con el cifrado de extremo a extremo (e2e), el cifrado y el descifrado siempre se producen en los dispositivos de origen y de destino (por ejemplo, en los teléfonos móviles en el caso de la mensajería instantánea). Las claves de cifrado se generan en el cliente, por lo que, como administrador, no tienes control sobre estas claves ni sobre quién puede usarlas. Tampoco puedes ver qué contenido han cifrado los usuarios.
Con el cifrado por parte del cliente (CPC), el cifrado y el descifrado también se producen siempre en los dispositivos de origen y de destino, que en este caso son los navegadores de los clientes. Sin embargo, con este tipo de cifrado, los clientes usan claves de cifrado generadas y almacenadas en un servicio de gestión de claves basado en la nube, por lo que puedes controlarlas y saber quién tiene acceso a ellas. Por ejemplo, puedes revocar el acceso de un usuario a las claves, incluso si es quien las ha generado. Además, con el CPC, puedes monitorizar los archivos cifrados de los usuarios.

Configuración del CPC

¿Qué servicios de gestión de claves de partners puedo utilizar con el CPC?

Google se ha asociado con los siguientes servicios de gestión de claves para usarlos con el CPC:

¿Puedo utilizar Google como servicio de gestión de claves?
No, deberás utilizar un servicio de gestión de claves externo para configurar el cifrado por parte del cliente de Google Workspace. Con el CPC, puedes controlar tus propias claves de cifrado y Google no puede acceder a ellas para descifrar tus datos.
¿Cómo puedo limitar qué usuarios o grupos tienen acceso a mi servicio de claves externo?
La Lista de control de acceso (LCA) para las claves de cifrado se gestiona mediante un servicio de claves externo. Ponte en contacto con tu proveedor de cifrado para obtener más información.
¿Cómo puedo configurar el CPC en unidades compartidas?
No es necesario que configures el CPC específicamente para unidades compartidas. El servicio de claves externo que configuras en la consola de administración funciona con archivos tanto de Mi unidad como de unidades compartidas.

Uso de archivos CPC

¿Qué datos se cifran con el CPC?

Google Drive:

  • Todo el contenido del archivo, como el cuerpo de los documentos
  • Contenido insertado, como imágenes en un archivo de Documentos de Google

Google Meet (beta)

Emisión de contenido multimedia (datos de vídeo y audio) transmitida entre los participantes de la reunión y Google

¿Qué datos no se cifran con el cifrado por parte del cliente?

Google Drive:

  • Título del archivo
  • Metadatos de archivos, como el propietario, el creador y la fecha de la última modificación
  • Etiquetas de Drive (también llamados metadatos de Drive)
  • Contenido enlazado de un sitio externo a Documentos o Drive (por ejemplo, un vídeo de YouTube enlazado desde un documento de Google)
  • Preferencias de usuario, como los estilos de encabezado de Documentos

Google Meet (beta)

Cualquier dato que no sean las emisiones multimedia (audio y vídeo).

¿Puedo volver a cifrar archivos con una clave de cifrado distinta?
Esta función estará disponible en una versión posterior.
¿Puedo cambiar el cifrado de un archivo por el cifrado predeterminado de Google?
Esta función estará disponible en una versión posterior.
¿Cómo se descifran los archivos exportados?
Para descifrar archivos cifrados por parte del cliente que exportes con la herramienta de exportación de datos o con Google Vault, puedes usar la herramienta de descifrado, una utilidad de la línea de comandos. Para obtener más información, consulta Descifrar archivos encriptados por parte del cliente exportados.
¿Puedo conservar, buscar y exportar archivos cifrados en Google Vault?
Sí, si tu edición de Google Workspace tiene Google Vault, puedes conservar, buscar y exportar archivos cifrados por parte del cliente en Vault. Puedes buscar archivos cifrados por parte del cliente por sus metadatos, como el título y el propietario. No obstante, no puede hacer búsquedas en su contenido, buscar por tipo de archivo, obtener una vista previa del contenido ni descargarlo desde la vista previa. Para obtener más información, consulta el artículo Trabajar con archivos cifrados por parte del cliente en Vault.

Análisis de archivos cifrados por parte del cliente

¿Analiza Drive automáticamente los archivos cifrados por parte del cliente para detectar amenazas de seguridad?
Los archivos cifrados por parte del cliente no se analizan en busca de phishing ni software malicioso, ya que los servidores de Google no tienen acceso al contenido de esos archivos.
¿Puedo ejecutar análisis de DLP en el contenido de archivos cifrados por parte del cliente?
Los análisis de Prevención de la pérdida de datos (DLP) no pueden acceder al contenido cifrado por parte del cliente que hay en los archivos. Sin embargo, como los análisis de DLP pueden acceder a los metadatos de los archivos, como el título y las etiquetas de Drive, que no están cifrados, pueden ayudar a evitar que se filtren datos sensibles.

Uso del cifrado por parte del cliente con Drive para ordenadores

¿Drive para ordenadores sincroniza los archivos cifrados por parte del cliente?
Drive para ordenadores muestra los archivos cifrados sincronizados como accesos directos en Windows y como enlaces simbólicos en Mac.
¿Drive para ordenadores vuelve a cifrar los archivos cifrados por parte del cliente descargados si se vuelven a sincronizar con Drive?
No. Los archivos cifrados por parte del cliente que se descarguen y descifren en una carpeta local que se sincronice con Drive se almacenarán sin cifrar en Drive.

Evita almacenar información sensible descifrada en Drive: informa a los usuarios de Drive para ordenadores de que si utilizan la opción Descargar y descifrar de Drive, deben evitar almacenar los archivos descifrados de las carpetas locales que se sincronizan con Drive.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
Buscar en el Centro de ayuda
true
73010
false
false