Acerca del cifrado del lado del cliente

Ediciones compatibles con esta función: Enterprise Plus y Education Standard y Education Plus.  Comparar ediciones

Para cifrar los datos de tu organización (como los archivos y los correos electrónicos), puedes usar tus propias claves de cifrado, además del cifrado predeterminado que proporciona Google Workspace. Con el cifrado del lado del cliente (CLC) de Google Workspace, el cifrado del contenido se gestiona en el navegador del cliente antes de transmitir datos o almacenarlos en la nube de Google. De este modo, los servidores de Google no pueden acceder a tus claves de cifrado ni descifrar tus datos. Una vez que hayas configurado el CPC, puedes elegir qué usuarios pueden crear contenido cifrado del lado del cliente y compartirlo o enviarlo de forma interna o externa. 

En esta página

Ventajas de usar el CLC

Google Workspace ya utiliza los últimos estándares criptográficos para cifrar todos los datos, tanto en reposo como en tránsito entre sus instalaciones, en todos los servicios. Además, Gmail utiliza el protocolo de Seguridad en la capa de transporte (TLS) para comunicarse con otros proveedores de servicios de correo. No obstante, con el CLC, puedes controlar directamente las claves de cifrado y el proveedor de identidades que utilizas para acceder a ellas. Este control adicional puede ayudarte a reforzar la confidencialidad de tus datos sensibles o regulados. Es posible que tu organización tenga que utilizar el CLC por varios motivos; por ejemplo:

  • Privacidad: tu organización trabaja con propiedad intelectual extremadamente sensible.
  • Cumplimiento normativo: tu organización opera en un sector altamente regulado, como el aeroespacial, el de defensa, el de los servicios financieros o el de la administración pública.

Servicios y tipos de datos admitidos

Abrir sección  |  Ocultar todo

Servicios en los que está disponible el CLC

El CLC de Google Workspace está disponible para los siguientes servicios:

  • Google Drive para navegadores web, Drive para ordenadores (solo formatos de archivo que no sean de Google) y las aplicaciones móviles de Drive para Android y iOS (solo lectura en formatos de archivo que no sean de Google).
  • Gmail solo para navegadores web.El CLC estará disponible en las aplicaciones móviles de Gmail para Android y iOS en una próxima versión.
  • Google Calendar para navegadores web y aplicaciones móviles Android y iOS
  • Google Meet para navegadores web y aplicaciones móviles Android y iOS. El hardware de salas de reuniones estará disponible en una versión posterior.
Qué datos cifra el CLC
Servicio Datos cifrados del lado del cliente Datos no CLC
Google Drive
  • Archivos creados con editores de Documentos de Google (documentos, hojas de cálculo y presentaciones)
  • Archivos subidos, como PDFs y archivos de Microsoft Office
  • Título del archivo
  • Metadatos de archivos, como el propietario, el creador y la fecha de la última modificación
  • Etiquetas de Drive (también llamados metadatos de Drive)
  • Contenido enlazado de un sitio externo a Documentos o Drive (por ejemplo, un vídeo de YouTube enlazado desde un documento de Google)
  • Preferencias de usuario, como los estilos de encabezado de Documentos

Gmail
  • Cuerpo de los correos, incluidas las imágenes insertadas
  • Archivos adjuntos

    Nota: De momento, no es posible adjuntar archivos cifrados del lado del cliente de Drive

Cabeceras de correos, incluidos el asunto, las marcas de tiempo y las listas de destinatarios
Google Calendar
  • Descripción del evento
  • Archivos de Drive adjuntos (si el CLC está activado en este servicio)
  • Streams de audio y de vídeo de Meet (si el CLC está activado en este servicio)

Cualquier contenido que no sea la descripción del evento, los archivos adjuntos ni los datos de Meet, como:

  • Título del evento
  • Hora de inicio y finalización del evento
  • Lista de participantes
  • Salas reservadas
  • Números de los participantes que se unen por teléfono
  • Enlace de Meet
Google Meet
  • Streams de audio
  • Streams de vídeo (incluida la pantalla compartida)
  • Mensajes de chat
 Cualquier dato que no sean los streams de audio y de vídeo ni los mensajes de chat

Descripción general de la configuración del CLC

Abrir sección  |  Ocultar todo

A continuación, puedes ver los pasos que deberás seguir para configurar el CPC de Google Workspace.

Paso 1: Configura el servicio de claves de cifrado externo
Deberás configurar un servicio de claves de cifrado a través de uno de los servicios de partners de Google, o bien crear tu propio servicio con la API de CLC de Google Workspace. Este servicio controla las claves de cifrado de nivel superior que protegen tus datos. Cuando configures tu servicio, añadirás usuarios a la lista de control de acceso de claves de tu servicio de claves. Para obtener más información, consulta el artículo Configurar el servicio de claves para el cifrado del lado del cliente.
Paso 2: Conecta Google Workspace ta tu servicio de claves externo
Puedes conectar Google Workspace a tu servicio de claves externo añadiendo la URL del servicio a la consola de administración. Puedes añadir varios servicios de claves si quieres asignar servicios de claves diferentes en unidades organizativas o grupos específicos. Además, puedes migrar el contenido cifrado de un servicio a otro en cualquier momento. Para obtener más información, consulta el artículo Añadir y gestionar servicios de claves para el cifrado del lado del cliente.
Paso 3: Asigna el servicio de claves a unidades organizativas o grupos
Una vez que hayas conectado Google Workspace al servicio de claves externo, podrás asignarlo a tus unidades organizativas y grupos. Deberás asignar un servicio de claves como predeterminado en toda la organización. Para obtener más información, consulta el artículo Asignar un servicio de claves para el cifrado del lado del cliente.
Paso 4: Conecta Google Workspace a tu proveedor de identidades
Deberás conectarte a un proveedor de identidades de terceros o a una identidad de Google, ya sea mediante la consola de administración o con un archivo .well-known alojado en tu servidor. Tu proveedor de identidades verifica la identidad de los usuarios antes de permitirles que cifren contenido o accedan a contenido cifrado. Para obtener más información, consulta el artículo Conectarse al proveedor de identidades para el cifrado del lado del cliente.
Paso 5 (solo en el caso del CPC de Gmail): Habilita la API de Gmail
Deberás crear un proyecto de Google Cloud Platform (GCP) y habilitar la API de Gmail. A continuación, concede a la API acceso a toda tu organización. Para obtener más información, consulta el artículo Solo Gmail: configurar el cifrado del lado del cliente en tu organización.
Paso 6: Activa el CPC para los usuarios
Activa el CLC en todas las unidades organizativas o grupos de tu organización que tengan usuarios que necesiten crear contenido cifrado del lado del cliente, como archivos de Drive o correos. Para obtener más información, consulta el artículo Activar o desactivar el CLC para los usuarios.
Paso 7 (solo en el caso del CPC de Gmail): Sube los certificados S/MIME de los usuarios
Deberás usar la API de Gmail para subir un certificado S/MIME (extensiones seguras multipropósito de correo de Internet) y metadatos de clave privada cifrados por tu servicio de claves por cada usuario que vaya a usar el CLC de Gmail. Consulta más información en el artículo Configurar el CLC de Gmail para los usuarios.

Requisitos del CLC

Abrir sección  |  Ocultar todo

Qué privilegios de administrador necesitas para el CLC

Para gestionar el CLC en tu organización, debes tener privilegios de superadministrador en Google Workspace; por ejemplo:

  • Añadir y gestionar servicios de claves
  • Asignar servicios de claves a unidades organizativas y grupos
  • Activar o desactivar el CLC para los usuarios
Requisitos de los usuarios internos para el CLC

Licencias obligatorias

  • Los usuarios deben tener una licencia de Google Workspace Enterprise Plus o Google Workspace for Education Plus si quieren utilizar el CLC con acciones como:
    • Crear o subir contenido cifrado del lado del cliente
    • Organizar reuniones cifradas
    • Enviar o recibir correos cifrados
  • Para otras acciones como las siguientes, los usuarios pueden tener cualquier tipo de licencia de Google Workspace o de Cloud Identity:
    • Ver, editar o descargar contenido CLC
    • Participar en una reunión con CLC
  • Los usuarios que tengan una cuenta de consumidor de Google (como los usuarios de Gmail) no pueden acceder a contenido con CLC, enviar correos cifrados ni participar en reuniones que incluyan este método de seguridad.

Requisitos del navegador

Para ver o editar contenido con CLC, los usuarios deben hacerlo desde los navegadores Google Chrome o Microsoft Edge (Chromium).

Requisitos de los usuarios externos para el CLC

Licencias obligatorias

  • Los usuarios externos deben tener una licencia de Google Workspace o de Cloud Identity para acceder a archivos y a otros tipos de datos con CLC, como los archivos cifrados de Drive.

  • Los usuarios externos que tengan un certificado S/MIME podrán enviar y recibir mensajes cifrados sin necesidad de tener una licencia de Google Workspace o de Cloud Identity.

  • Los usuarios que tengan una cuenta de consumidor de Google o una cuenta de visitante no podrán acceder a archivos con CLC.

Requisitos de la configuración

  • Las organizaciones externas con las que colaborarán tus usuarios también deben configurar el CLC, ya sea en la consola de administración o con un archivo .well-known.
  • Tu servicio de cifrado externo debe incluir en su lista de permitidos el servicio del proveedor de identidades de terceros que utilizan los usuarios de la organización externa con los que quieres que tus usuarios compartan archivos con CLC. Normalmente, el servicio del proveedor de identidades se puede encontrar en su archivo público .well-known, si ha creado uno. Si no es así, ponte en contacto con el administrador de Google Workspace de la organización externa para que te indique los detalles de su proveedor de identidades.

Otros requisitos

Los usuarios externos deben compartir información de identidad: informa al administrador de la organización externa de que los usuarios deben proporcionar su token de autenticación a tu servicio de claves para poder ver o editar el contenido cifrado de tu organización. El proceso de autenticación requiere que un usuario comparta su dirección IP y otros datos. Para obtener más información, consulta la sección Tokens de autenticación de la guía de referencia de API del CLC.

Experiencia de usuario con el CPC

Una vez que hayas configurado el CLC en tu organización, los usuarios para los que actives este tipo de cifrado podrán utilizarlo con los servicios que se indican a continuación.

Abrir sección  |  Ocultar todo

Google Drive

Los usuarios pueden crear documentos con CLC mediante editores de Documentos de Google (como documentos y hojas de cálculo) o cifrar archivos que suban a Drive (como PDFs). Solo los usuarios con los que se compartan archivos cifrados podrán verlos.

Experiencia de Drive para ordenadores

Drive para ordenadores muestra los archivos cifrados sincronizados como accesos directos en Windows y como enlaces simbólicos en Mac. Si un usuario hace clic en un acceso directo o en un enlace a un archivo cifrado de Documentos, Hojas de cálculo o Presentaciones, se abrirá una nueva ventana del navegador.

Los usuarios también pueden hacer lo siguiente:

  • Cifrar y subir un archivo local 
  • Leer y editar algunos tipos de archivos cifrados, como PDFs y archivos de Microsoft Office

Importante: Si un usuario descarga y descifra un archivo con CLC en una carpeta local que se sincroniza con Drive, el archivo se almacenará como texto sin formato en Drive.

Evita almacenar información sensible descifrada en Drive: informa a los usuarios de Drive para ordenadores de que si utilizan la opción Descargar y descifrar de Drive, deben evitar almacenar los archivos descifrados de las carpetas locales que se sincronizan con Drive.

Experiencia de Drive en Android y iOS

Los usuarios pueden previsualizar o descargar archivos con CLC en Drive con su dispositivo móvil, incluidos archivos de Microsoft Office (solo iOS) y PDF. Todavía no se admiten Documentos, Hojas de cálculo ni Presentaciones de Google.

Nota: Para ver o previsualizar archivos con CLC, los usuarios necesitan un lector compatible en su dispositivo.

Evita almacenar información sensible descifrada en Drive: informa a los usuarios de la versión de Drive para móviles de que si utilizan la opción Descargar y descifrar de Drive, no deben almacenar los archivos descifrados en las ubicaciones de su dispositivo que se sincronizan con Drive.

Algunas funciones no están disponibles

A continuación, se enumeran algunas de las funciones de Drive que no están disponibles en el caso de los archivos con CLC. Si quieres ver la lista completa, consulta el artículo Empezar a utilizar archivos cifrados en Drive, Documentos, Hojas de cálculo y Presentaciones.

  • Revisión ortográfica y gramatical en editores de Documentos de Google
  • Edición simultánea por parte de varios colaboradores (no obstante, un documento cifrado lo puede ver un número ilimitado de usuarios al mismo tiempo)
  • Búsqueda en todo el texto y vista previa de archivos
  • Comentarios
  • Cifrado o descifrado de archivos sin conexión

Información sobre las funciones y las limitaciones del CLC en Drive

Consulta los siguientes recursos:

Gmail

Los usuarios pueden enviar y recibir correos cifrados del lado del cliente tanto desde dentro como desde fuera de tu organización.

Algunas funciones no están disponibles

Estas son algunas de las funciones de Gmail que no están disponibles en los archivos CPC. Para obtener una lista completa de las limitaciones de funciones, consulta el artículo Información sobre el cifrado del lado del cliente en Gmail.

  • Modo confidencial
  • Envío de correos a grupos como destinatarios
  • Búsqueda en el cuerpo del mensaje (los usuarios pueden buscar por destinatario y línea de asunto)
  • Firmas
  • Impresión
  • Uso de las aplicaciones móviles de Gmail

Además, la delegación de correo (la bandeja de entrada compartida) no está disponible en el CLC de Gmail.

Información sobre las funciones y las limitaciones del CLC en Gmail

Consulta más información sobre el CLC en Calendar.

Google Calendar

Los usuarios pueden crear eventos con descripciones cifradas del lado del cliente. Si has activado el CLC para Drive y Meet, los usuarios podrán adjuntar al evento documentos cifrados del lado del cliente y añadir reuniones online con este tipo de cifrado. Si el CLC está desactivado para Drive y Meet, los usuarios no podrán añadir archivos adjuntos ni reuniones online a eventos CLC. 

Nota:

  • Los usuarios solo pueden cifrar eventos normales; otros tipos de eventos, como el tiempo de concentración o las horas disponibles, no admiten el CLC.
  • Para ver descripciones de eventos cifrados del lado del cliente, los usuarios deben utilizar Google Calendar. 

Algunas funciones no están disponibles

Estas son algunas de las funciones de Calendar que no están disponibles en los archivos cifrados del lado del cliente. Para ver una lista completa de las funciones limitadas, consulta el artículo Acerca del cifrado del lado del cliente en Calendar.

  • Búsqueda de descripciones de eventos
  • Cifrado o descifrado de eventos sin conexión

Más información sobre las funciones del CLC y las limitaciones de Calendar

Consulta el artículo Acerca del cifrado del lado del cliente en Calendar.

Google Meet

Cuando los usuarios programan reuniones en Google Calendar o inician una reunión instantánea (no programada), pueden elegir que sean cifradas del lado del cliente. 

Algunas funciones no están disponibles

A continuación, se enumeran algunas de las funciones de Meet que no están disponibles en el caso de los archivos CLC. Para ver una lista completa de las funciones limitadas, consulta el artículo Acerca del cifrado del lado del cliente (CLC) en Meet.

  • Grabaciones
  • Emisiones en directo
  • Uso de un teléfono para el audio
  • Encuestas
  • Jamboard
  • Hardware de salas de reuniones (próximamente en una versión posterior)
  • Invitaciones a participantes ajenos a tu organización (disponible en una versión posterior)

Información sobre las funciones y las limitaciones del CLC en Meet

Consulta el artículo Acerca del cifrado del lado del cliente (CLC) en Meet.

Registros e informes del CLC

Puedes auditar registros de la actividad del administrador e informes sobre la actividad de usuario en el caso de los archivos cifrados del lado del cliente. Para obtener más información, consulta el artículo Ver registros e informes sobre el cifrado del lado del cliente.

Preguntas frecuentes sobre el CLC

Abrir sección  |  Ocultar todo

Información sobre el cifrado

¿Dónde puedo encontrar información sobre el cifrado predeterminado de Google?
Consulta más información sobre el cifrado predeterminado de Google en el sitio de Google Cloud.
Para obtener más información sobre el cifrado estándar de Gmail, consulta el artículo Cifrado de correos en tránsito del Centro de Ayuda de Gmail.
¿En qué se diferencia el CLC del cifrado de extremo a extremo (e2e)?
Con el cifrado de extremo a extremo (e2e), el cifrado y el descifrado siempre se producen en los dispositivos de origen y de destino (por ejemplo, en los teléfonos móviles en el caso de la mensajería instantánea). Las claves de cifrado se generan en el cliente, por lo que, como administrador, no tienes control sobre estas claves ni sobre quién puede usarlas. Tampoco puedes ver qué contenido han cifrado los usuarios.
Con el CLC, el cifrado y el descifrado también se producen siempre en los dispositivos de origen y de destino, que en este caso son los navegadores de los clientes. Sin embargo, con este tipo de cifrado, los clientes usan claves de cifrado generadas y almacenadas en un servicio de gestión de claves basado en la nube, por lo que puedes controlarlas y saber quién tiene acceso a ellas. Por ejemplo, puedes revocar el acceso de un usuario a las claves, incluso si es quien las ha generado. Además, con el CLC, puedes monitorizar los archivos cifrados de los usuarios.

Configuración del CLC

¿Qué servicios de gestión de claves de partners puedo utilizar con el CLC?

Google se ha asociado con varios servicios de gestión de claves para usarlos con el CLC. Para saber cuáles son estos servicios, consulta el artículo Configurar el servicio de claves para la encriptación del lado del cliente.

¿Puedo utilizar Google como servicio de gestión de claves?
No, deberás utilizar un servicio de gestión de claves externo para configurar el CLC de Google Workspace. Con el CLC, puedes controlar tus propias claves de cifrado y Google no puede acceder a ellas para descifrar tus datos.
¿Puedo usar varios servicios de claves?
Sí, puedes utilizar más de un servicio de claves y elegir cuál se usará para una unidad organizativa o un grupo. Además, puedes migrar el contenido cifrado de un servicio a otro.
Nota: En la consola de administración, puedes configurar un único servicio de claves para el CLC de Gmail. Consulta otras opciones para gestionar claves en la API de cifrado del lado del cliente de Google Workspace.
¿Puedo cambiar a otro servicio de claves?
Sí, puedes cambiar a otro servicio de claves. En este caso, te recomendamos que migres el contenido cifrado con tu servicio de claves al nuevo servicio. Para obtener más información, consulta la sección Si quieres cambiar a un nuevo servicio de claves.
¿Cómo puedo limitar qué usuarios o grupos tienen acceso a mi servicio de claves externo?
La lista de control de acceso de las claves de cifrado se gestiona a través de un servicio de claves externo. Este servicio debe incluir a todos los usuarios que necesiten cifrar o descifrar (ver o editar) contenido. Ponte en contacto con tu proveedor de cifrado para obtener más información.
Además, tienes que activar el CLC para los usuarios que necesiten cifrar datos. Para obtener más información, consulta el artículo Activar o desactivar el CLC para los usuarios.
¿Cómo puedo configurar el CLC en unidades compartidas?
No es necesario que configures el CLC específicamente para unidades compartidas. El servicio de claves externo que configuras en la consola de administración funciona con archivos tanto de Mi unidad como de unidades compartidas.

Trabajar con contenido cifrado del lado del cliente

¿Puedo volver a cifrar archivos con una clave de cifrado distinta?
Puedes migrar archivos CLC a un nuevo servicio de claves. Para obtener más información, consulta la sección Si quieres cambiar a un nuevo servicio de claves.
¿Puedo cambiar el cifrado de un archivo por el cifrado predeterminado de Google?
Esta función estará disponible en una versión posterior.
¿Cómo se descifran los archivos y los correos exportados de Drive?
Para descifrar archivos cifrados del lado del cliente que exportes con la herramienta de exportación de datos o con Google Vault, puedes usar la herramienta de descifrado, una utilidad de la línea de comandos. Para obtener más información, consulta Descifrar archivos encriptados del lado del cliente exportados.
¿Puedo conservar, buscar y exportar archivos y correos cifrados en Google Vault?
Sí, si tu edición de Google Workspace tiene Google Vault, puedes conservar, buscar y exportar archivos de Drive y correos de Gmail cifrados del lado del cliente en Vault. 
Puedes buscar archivos cifrados por parte del cliente por sus metadatos, como el título y el propietario. No obstante, no puede hacer búsquedas en su contenido, buscar por tipo de archivo, obtener una vista previa del contenido ni descargarlo desde la vista previa.
Para obtener más información, consulta el Centro de Ayuda de Google Vault.

Analizar archivos y correos CLC

¿Drive y Gmail analizan automáticamente el contenido cifrado del lado del cliente en busca de amenazas de seguridad?
Los archivos y los correos cifrados del lado del cliente no se analizan en busca de phishing y software malicioso, ya que los servidores de Google no tienen acceso al contenido.
¿Puedo ejecutar análisis de DLP en el contenido de archivos o correos CLC?
Los análisis de Prevención de la pérdida de datos (DLP) no pueden acceder al contenido cifrado por parte del cliente que hay en archivos o correos. Sin embargo, dado que sí tienen acceso a los metadatos no cifrados de los archivos, como el título y las etiquetas de Drive, pueden ayudar a evitar que se filtren datos sensibles.

Cambiar a una edición de Google Workspace que no admite el CLC

¿Qué ocurre con el contenido cifrado si las licencias de los usuarios ya no usan el CLC?
Si cambias a los usuarios a una licencia de Google Workspace que no incluya el CLC, podrán seguir accediendo y editando los elementos cifrados del lado del cliente, como archivos y correos electrónicos. Sin embargo, no pueden crear ningún elemento cifrado del cliente.
¿Puedo retirar el cifrado del contenido si ya no quiero usar el CLC?
Si quieres dejar de usar el CLC y descifrar elementos como los archivos y los correos electrónicos, primero debes exportar esos elementos con la herramienta de exportación de datos. A continuación, usa la utilidad de descifrado para quitar el CLC.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.

true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010