- Gmail incorpora cifrado de extremo a extremo (E2EE) en sus apps para iOS y Android, integrado de forma nativa.
- La función se limita a clientes empresariales de Google Workspace Enterprise Plus con Assured Controls o Assured Controls Plus.
- El sistema usa cifrado del lado del cliente (CSE) con claves bajo control de la organización, no de Google.
- El despliegue cobra especial relevancia en Europa y España por las exigencias del RGPD y otras normativas sectoriales.
La seguridad del correo electrónico sube un peldaño con la llegada del cifrado de extremo a extremo a la app de Gmail para iOS y Android. Google ha comenzado a activar esta función en sus aplicaciones móviles oficiales, permitiendo que determinados usuarios empresariales redacten y lean mensajes protegidos directamente desde el teléfono, sin recurrir a herramientas externas.
Este movimiento afecta sobre todo a organizaciones que trabajan con datos sensibles en España y el resto de Europa, donde el móvil se ha convertido en la principal herramienta de trabajo. La novedad no cambia la protección básica que ya ofrecía Gmail, pero añade una capa extra de privacidad para aquellos correos que necesiten blindarse con un nivel superior de cifrado.
Qué supone el nuevo cifrado de extremo a extremo en Gmail móvil
Con esta actualización, los usuarios autorizados pueden enviar y abrir correos con cifrado de extremo a extremo (E2EE) directamente desde la app de Gmail en Android e iOS. Hasta ahora, las opciones más avanzadas de cifrado se concentraban en la versión web de Gmail y en programas piloto limitados.
En la práctica, el funcionamiento es bastante sencillo: al redactar un mensaje en el móvil, aparece el icono de un candado. Si se pulsa sobre él y se elige la opción de «cifrado adicional», ese correo pasa a estar protegido con E2EE. A partir de ese momento, el usuario escribe el asunto, el cuerpo del mensaje y adjunta archivos igual que siempre, sin pasos extra ni configuraciones complejas.
Cuando el destinatario también utiliza Gmail con esta función disponible, el correo cifrado llega a su bandeja como un hilo normal. No es necesario instalar aplicaciones adicionales ni acceder a portales externos: todo queda integrado en la experiencia habitual de la app, de manera que muchos usuarios apenas notarán la diferencia más allá de los indicadores de seguridad.
Si la persona que recibe el mensaje no usa Gmail, o trabaja con otro proveedor de correo, también puede abrirlo. En estos casos, Gmail redirige a una página web segura desde la que se puede leer y, si la organización lo permite, responder manteniendo la protección. Así, el remitente no tiene que preocuparse por el servicio de correo del receptor.
Conviene recordar que esto no implica que los correos de antes fueran inseguros: Gmail ya aplicaba cifrado en tránsito entre servidores. La diferencia es que, con el E2EE, solo el remitente y el destinatario pueden leer el contenido; ni Google ni terceros tienen acceso al texto del mensaje una vez protegido.
El papel del cifrado del lado del cliente (CSE)
La tecnología que hace posible este salto en seguridad se basa en el denominado cifrado del lado del cliente o Client-side Encryption (CSE). En este modelo, los mensajes y los archivos adjuntos se cifran en el propio dispositivo del usuario antes de salir hacia los servidores de Google, y solo se descifran en el dispositivo del destinatario.
La clave del sistema está en el control de las llaves de cifrado. No es Google quien gestiona esas claves, sino la propia organización que usa Google Workspace, que las aloja en servicios externos a la infraestructura de la compañía. Como resultado, aunque alguien accediera a los servidores donde se guardan los correos, el contenido de los mensajes cifrados seguiría siendo ilegible sin esas claves.
Este enfoque resulta especialmente atractivo para sectores regulados en Europa —como sanidad, banca, educación, administraciones públicas o despachos profesionales—, donde las normas de protección de datos exigen demostrar control efectivo sobre la información personal y confidencial. Al mantener las claves fuera de Google, las empresas pueden argumentar con más facilidad que la custodia técnica de los datos está bajo su responsabilidad directa.
En la práctica, el funcionamiento recuerda a lo que ya ocurre en aplicaciones de mensajería como WhatsApp o Signal, donde el cifrado de extremo a extremo impide que nadie más que emisor y receptor lean los mensajes. La diferencia es que el correo electrónico corporativo suele implicar más requisitos de auditoría, interoperabilidad entre proveedores y compatibilidad con sistemas heredados, lo que había complicado hasta ahora la extensión del E2EE.
Frente a modelos tradicionales como S/MIME, que exigían emitir y gestionar certificados individuales para cada usuario, CSE busca simplificar esa maraña técnica. El objetivo de Google es que, para la plantilla, el proceso quede reducido a «tocar un candado» cuando se quiera una protección adicional, en lugar de obligar a lidiar con configuraciones crípticas.
Disponibilidad: quién puede usar el E2EE en Gmail para iOS y Android
Por ahora, el nuevo cifrado de extremo a extremo en móviles no está disponible para todas las cuentas de Gmail. La función se dirige a un segmento muy concreto de clientes: organizaciones que utilizan Google Workspace con planes avanzados.
En concreto, Google indica que el E2EE en Android e iOS está limitado a licencias Enterprise Plus que cuenten además con los complementos Assured Controls o Assured Controls Plus. Son opciones pensadas para compañías y entidades públicas con necesidades estrictas de seguridad, soberanía de datos y cumplimiento normativo.
Antes de que los empleados puedan activar el cifrado desde el móvil, los administradores de TI tienen que habilitar los clientes de Android e iOS dentro de la interfaz de administración de CSE en la consola de Google Workspace. Desde ahí se controlan también las políticas internas, qué grupos pueden usar la función y cómo se integran los proveedores de claves externos.
Google señala que el despliegue se realiza tanto en dominios de lanzamiento rápido como en dominios de lanzamiento programado, por lo que las organizaciones que cumplan los requisitos de licencia ya pueden empezar a poner en marcha la función si lo consideran oportuno.
En paralelo, los usuarios particulares que utilizan cuentas gratuitas de Gmail en España o en otros países europeos no verán cambios en este sentido. Seguirán disponiendo del cifrado estándar en tránsito, además de filtros antispam y mecanismos contra el phishing, pero el E2EE en móvil seguirá reservado al entorno corporativo de pago.
Cómo se activa y se utiliza el cifrado en la app de Gmail
Una vez que el administrador ha configurado el cifrado del lado del cliente y ha dado luz verde al uso en móviles, el proceso para el usuario final es bastante directo. La filosofía de Google es que enviar un correo cifrado sea casi tan sencillo como enviar uno normal.
Tras abrir la aplicación de Gmail en un teléfono Android o un iPhone y tocar el botón para redactar, el usuario verá el icono de un candado entre las opciones de seguridad del mensaje. Al pulsar sobre él, puede seleccionar la opción «Cifrado adicional», que activa el E2EE para ese correo en concreto.
A partir de ese momento, se redacta el asunto, el cuerpo del mensaje y se adjuntan archivos igual que siempre. Desde fuera, el flujo apenas cambia, lo que evita tener que recibir formación técnica detallada o recordar pasos especiales cada vez que se quiera proteger una comunicación.
En el lado del receptor, si también pertenece a una organización con CSE activo, el mensaje se mostrará en su bandeja de entrada de Gmail como cualquier otro. Los indicativos de seguridad serán diferentes y, en función de las políticas de la empresa, puede haber restricciones sobre lo que se puede hacer con ese contenido (reenviar, descargar adjuntos, etc.).
Cuando el destinatario no usa Gmail o no trabaja en un dominio con cifrado del lado del cliente, recibirá un enlace que le permitirá acceder al correo cifrado desde un navegador. Ahí podrá consultarlo y, si se habilita, contestar de forma protegida, sin necesidad de crear una cuenta de Google ni instalar ninguna app adicional.
Contexto: evolución del cifrado en Gmail y salto al móvil
El desembarco del E2EE en la app móvil forma parte de una hoja de ruta que Google lleva desarrollando desde hace varios años. El cifrado del lado del cliente debutó en otros servicios de la compañía, como Drive, Docs, Sheets, Slides, Meet o Calendar, antes de llegar de forma más amplia a Gmail.
En el caso concreto del correo, Google empezó ofreciendo este tipo de protección en la versión web de Gmail a finales de 2022, en una fase beta limitada para clientes empresariales. Posteriormente, la empresa amplió la cobertura y fue abriendo la opción a más organizaciones dentro de Google Workspace.
Con el paso del tiempo, el sistema evolucionó desde permitir comunicaciones cifradas únicamente entre miembros de una misma organización, hasta admitir el envío de mensajes E2EE a cualquier dirección de correo, incluso si el destinatario no utilizaba Gmail. Ese cambio resultó clave para empresas que trabajan con socios, proveedores o clientes fuera del ecosistema de Google.
El salto actual a Android e iOS cierra una brecha importante: muchos trabajadores gestionan la mayor parte de sus correos desde el móvil, ya sea dentro o fuera de la oficina. Mantener el cifrado solo en el escritorio dejaba un hueco evidente en la protección de la información, especialmente en entornos con teletrabajo y equipos distribuidos.
Ahora, con E2EE disponible también en las apps, Google intenta que la protección avanzada acompañe al usuario allá donde consulte su correo. La idea es que no haga falta esperar a llegar al ordenador para enviar un documento delicado o responder a un hilo sensible con las máximas garantías de privacidad.
Impacto en España y Europa: RGPD, cumplimiento y competencia
En el contexto europeo, la llegada de este cifrado a las apps móviles encaja con unas exigencias de privacidad cada vez más estrictas. Normativas como el Reglamento General de Protección de Datos (RGPD) o las regulaciones sectoriales en sanidad, finanzas y administración pública obligan a extremar las medidas de seguridad en el tratamiento de la información.
El hecho de que las claves de cifrado no residan en la infraestructura de Google, sino bajo control del cliente, ayuda a organizaciones españolas y europeas a demostrar que mantienen la última palabra sobre quién puede acceder al contenido de los correos. Este matiz no es menor cuando se analizan cuestiones como la soberanía del dato o la residencia de la información en determinados territorios.
Para muchas empresas y organismos públicos en España, el correo electrónico sigue siendo el canal principal para intercambiar contratos, informes internos, historiales médicos, expedientes administrativos y otra documentación sensible. Hasta ahora, el uso de cifrado fuerte en el móvil solía requerir soluciones paralelas o herramientas poco integradas, lo que frenaba su adopción.
La integración de E2EE directamente en la app de Gmail pretende hacer que esa protección deje de ser una rareza reservada a equipos técnicos y se convierta en un recurso cotidiano. Aun así, el movimiento no sitúa automáticamente a Gmail como la opción más radical en materia de privacidad para el usuario de a pie: servicios especializados como Proton Mail llevan años ofreciendo cifrado de extremo a extremo por defecto a cualquier persona, sin limitarlo al segmento empresarial.
Donde sí puede notarse un cambio es en la competencia por las grandes cuentas corporativas y las instituciones públicas europeas. Argumentos como que Gmail carecía de cifrado avanzado en móvil pierden fuerza frente a alternativas como Microsoft 365 u otros proveedores orientados a sectores regulados. Para organizaciones que valoran integrarse en el ecosistema de Google Workspace, disponer de E2EE en Android e iOS elimina uno de los frenos habituales.
Ventajas y limitaciones actuales del nuevo sistema
Entre los puntos fuertes de la actualización destaca, en primer lugar, la reducción del riesgo de interceptación de mensajes y archivos adjuntos mientras viajan por la red o se almacenan en los servidores. Al estar cifrados de extremo a extremo, el acceso no autorizado se complica considerablemente, incluso si se produjera una brecha de seguridad en la infraestructura de un proveedor.
Otro aspecto relevante es la simplificación para el usuario final. El hecho de que todo el proceso se resuma en elegir una opción de cifrado al tocar un candado hace más probable que la plantilla utilice la función de forma habitual, en lugar de recurrir a ella solo en situaciones excepcionales o tras recibir formación específica.
Sin embargo, el sistema también presenta limitaciones. La principal es que el cifrado de extremo a extremo no está activado por defecto para todos los mensajes, a diferencia de lo que ocurre en algunas aplicaciones de mensajería. Son los propios usuarios quienes deben decidir en qué correos aplicarlo, lo que puede dejar fuera comunicaciones que quizá requerirían ese nivel de protección.
A esto se suma la restricción de acceso a planes empresariales de alto nivel. Las cuentas gratuitas de Gmail —muy extendidas entre particulares y pequeñas organizaciones en España— no tienen acceso a esta función, de modo que el grueso de la población seguirá usando el cifrado estándar que ya ofrecía el servicio.
A pesar de estas reservas, la sensación general entre empresas y administraciones es que la llegada del E2EE a iOS y Android refuerza la posición de Gmail como herramienta de trabajo en entornos sensibles. El equilibrio entre una seguridad más robusta y una experiencia de uso continuista parece pensado para que la medida tenga impacto real en el día a día, sin obligar a rediseñar la forma de trabajar de los empleados.
Con este despliegue, Gmail da un paso relevante para adaptar su servicio a las exigencias actuales de privacidad y cumplimiento normativo, especialmente en Europa, y ofrece a las organizaciones una forma más sencilla de proteger sus comunicaciones móviles más delicadas, manteniendo al mismo tiempo la familiaridad de la aplicación que millones de personas ya utilizan a diario.
