Preguntas frecuentes sobre la encriptación del cliente

Para obtener detalles sobre la encriptación predeterminada de Google, consulta el sitio de Google Cloud.

Para obtener más detalles sobre la encriptación estándar de Gmail, consulta Encriptación en tránsito en el Centro de ayuda de Gmail.

Con la encriptación de extremo a extremo (E2EE), la encriptación y la desencriptación siempre se producen en los dispositivos de origen y destino (por ejemplo, en los teléfonos celulares para la mensajería instantánea). Las claves de encriptación se generan en el cliente, por lo que, como administrador, no tienes control sobre las claves en los clientes ni sobre quién puede usarlas. Además, no puedes ver qué contenido encriptaron los usuarios.

Con la encriptación del cliente (CSE), la encriptación y la desencriptación también se producen siempre en los dispositivos de origen y destino, que, en este caso, son los navegadores de los clientes. Sin embargo, con la CSE, los clientes usan claves de encriptación que se generan y almacenan en un servicio de administración de claves basado en la nube, por lo que puedes controlar las claves y quién tiene acceso a ellas. Por ejemplo, puedes revocar el acceso de un usuario a las claves, incluso si ese usuario las generó. Además, con la CSE, puedes supervisar los archivos encriptados de los usuarios.

Los usuarios pueden elegir una opción en los servicios admitidos para activar el CSE. Para obtener más información sobre cómo los usuarios pueden activar la CSE en apps para dispositivos móviles y la Web, consulta el Resumen de la experiencia del usuario de la encriptación del cliente.

Sí, algunas funciones de los servicios de Google no están disponibles cuando se activa el CSE. Para obtener más información, consulta la Descripción general de la experiencia del usuario de la encriptación del cliente.

Se usa una clave de encriptación para transformar los datos en un formato ilegible para que parezcan aleatorios. De esta manera, los datos se mantienen privados para cualquier persona o entidad que no esté aprobada para leerlos. Para leer datos encriptados, una persona o aplicación necesita una clave para convertir los datos a su formato original.

Para usar claves de encriptación y agregar una capa de encriptación a los datos de Google Workspace de tu organización, debes usar un servicio de administración de claves asociado con Google o crear tu propio servicio de claves con la API de CSE de Google. Como alternativa, solo para Gmail, puedes usar la encriptación con claves de hardware, en la que la clave de encriptación de un usuario reside en una tarjeta inteligente.

Google se asoció con varios servicios de administración de claves para usarlos con la CSE. Para obtener una lista de los servicios, consulta Configura tu servicio de claves para la encriptación del cliente.

No, deberás usar un servicio de administración de claves externo para configurar la encriptación del cliente de Google Workspace. Con la CSE, controlas tus propias claves de encriptación, y Google no puede acceder a ellas para desencriptar tus datos.

Sí, puedes usar más de un servicio de claves y elegir qué servicio usar para una unidad organizativa o un grupo. También puedes migrar contenido encriptado de un servicio a otro.

Nota: En la Consola del administrador, puedes configurar un solo servicio de claves para la encriptación del cliente de Gmail. Obtén información sobre otras opciones para administrar claves en la API de Google Workspace Client-side Encryption .

Sí, si tu organización usa tarjetas inteligentes para acceder a instalaciones y sistemas, puedes configurar la encriptación de claves de hardware para el CSE de Gmail. Requiere tener el complemento de Assured Controls o Assured Controls Plus. Los usuarios pueden usar sus tarjetas inteligentes, que contienen su clave de encriptación privada, para encriptar sus mensajes de correo electrónico. Para obtener más información, consulta Solo Gmail: Configura y administra la encriptación con claves de hardware para la encriptación del cliente.

Sí, puedes configurar un servicio de claves y claves de encriptación de hardware para la CSE de Gmail. Requiere tener el complemento de Assured Controls o Assured Controls Plus. También asignas el servicio de claves y la encriptación de claves de hardware a los mismos usuarios. Sin embargo, un usuario solo puede usar un tipo de encriptación para Gmail, que depende de cómo configures su clave de encriptación privada para Gmail. Para obtener más información, consulta Solo Gmail: Configura certificados S/MIME para la encriptación del cliente.

Sí, puedes cambiar a otro servicio de claves. Si lo haces, la práctica recomendada es migrar el contenido encriptado con tu servicio de claves actual al servicio nuevo. Para obtener más información, consulta Si quieres cambiar a un nuevo servicio de claves.

Administras la lista de control de acceso (LCA) de las claves de encriptación a través de tu servicio de claves externo. Tu LCA debe incluir a todos los usuarios que necesiten encriptar o desencriptar (ver o editar) contenido. Comunícate con tu proveedor de encriptación para obtener más información.

Además, debes activar la CSE para todos los usuarios que necesiten encriptar datos. Para obtener más información, consulta Cómo activar o desactivar la encriptación del cliente para los usuarios.

En el caso de Gmail, Google Drive y Calendario de Google, puedes especificar que la CSE esté activada de forma predeterminada para unidades organizativas específicas. Requiere tener el complemento de Assured Controls o Assured Controls Plus.

Si especificas que el CSE está activado de forma predeterminada, los usuarios aún podrán desactivarlo si es necesario.

Para obtener más información, consulta Cómo activar o desactivar la encriptación del cliente para los usuarios.

No es necesario que configures el CSE específicamente para las unidades compartidas. El servicio de claves externo que configuraste en la Consola del administrador funciona para los archivos de Mi unidad y las unidades compartidas.

Si tienes problemas con la configuración del CSE, ve a Ver detalles de la alerta para obtener más información.

Sí. Ve a Migra mensajes a Gmail como correos electrónicos con encriptación del cliente.

Sí. Ve a Proporciona acceso externo al contenido con encriptación del cliente.

Puedes migrar archivos encriptados del cliente a un nuevo servicio de claves. Para obtener más información, consulta Si quieres cambiar a un nuevo servicio de claves.

Sí, puedes quitar la encriptación del cliente de un documento, una hoja de cálculo o una presentación de Google. Para obtener más información, consulta Cómo quitar la encriptación de un documento.

Para descifrar los archivos de CSE que exportes con la herramienta de exportación de datos o Google Vault, puedes usar el descifrador, una utilidad de línea de comandos. Para obtener más información, consulta Cómo desencriptar archivos exportados con encriptación del cliente.

Sí, si tu edición de Google Workspace incluye Google Vault, puedes retener, buscar y exportar archivos de Drive y correos electrónicos de Gmail encriptados del cliente en Vault.

Para obtener más información, visita el Centro de ayuda de Google Vault.

• En el caso del contenido del cuerpo encriptado del cliente en Documentos y Presentaciones de Google, los modelos de aprendizaje automático integrados en el dispositivo proporcionan la función de revisión ortográfica, que preserva la confidencialidad de los datos del documento.
• En el caso de Gmail y los comentarios en Documentos de Google, el navegador proporciona la función de revisión ortográfica.

  Si tu organización usa Google Chrome, asegúrate de que los usuarios de la CSE no usen la Corrección ortográfica mejorada de Chrome, ya que esta opción envía datos a Google. En cambio, los usuarios de CSE pueden usar la Corrección ortográfica básica de Chrome, que no envía datos a Google. Para obtener más información, consulta Cómo activar o desactivar el corrector ortográfico de Chrome. Si usas el navegador Chrome administrado, puedes crear una política para inhabilitar el corrector ortográfico para los usuarios de la CSE, lo que desactiva el Corrector ortográfico mejorado, pero no el Corrector ortográfico básico. Para obtener más detalles, consulta Cómo establecer políticas de Chrome para usuarios o navegadores.

Sí, puedes convertir archivos de Hojas de cálculo de Google exportados y desencriptados en archivos de Microsoft Excel. Para obtener más información, consulta Cómo convertir archivos de Google exportados y desencriptados a archivos de Microsoft Office.

No se analizan los archivos ni los correos electrónicos encriptados del cliente en busca de phishing y software malicioso, ya que los servidores de Google no tienen acceso al contenido.

Los análisis de prevención de pérdida de datos (DLP) no pueden acceder al contenido encriptado del cliente en archivos o correos electrónicos. Sin embargo, puedes crear reglas de DLP para hacer lo siguiente:

• Analiza los metadatos sin encriptar de los archivos de Drive, como el título del archivo y las etiquetas de Drive. Esto puede ayudar a evitar filtraciones de datos sensibles.
• Analiza los archivos de Drive para determinar si están encriptados del cliente o no. Para ello, elige la condición de regla Estado de encriptación del archivo > Es > Encriptado del cliente o No encriptado del cliente.

Para obtener detalles sobre cómo crear reglas de DLP para Drive, consulta Crea reglas y detectores de contenido personalizados de DLP para Drive.

Si cambias a los usuarios a una licencia de Google Workspace que no incluye la CSE, podrán seguir accediendo a los elementos encriptados del cliente y editarlos, como archivos y correos electrónicos. Sin embargo, no pueden crear elementos nuevos encriptados del lado del cliente.

Si quieres dejar de usar CSE y desencriptar elementos como archivos y correos electrónicos, primero debes exportarlos con la herramienta de exportación de datos. Luego, usa la utilidad de desencriptación para quitar la CSE.