- Gmail cifra por defecto en tránsito con TLS; S/MIME y CLC elevan la protección en Workspace.
- Los iconos verde, gris y rojo indican S/MIME, TLS o ausencia de cifrado en cada mensaje.
- El modo confidencial añade controles útiles, pero no sustituye al cifrado de extremo a extremo.
- La administración de CLC requiere configuración por servicio y gestión de claves/certificados.
Proteger lo que envías por correo no es opcional: es imprescindible. En Gmail, el cifrado añade una capa de privacidad que blinda tus mensajes frente a miradas ajenas, tanto cuando viajan como cuando llegan a su destino. Si gestionas datos sensibles, deberías conocer bien las opciones de cifrado que ofrece Google y cómo activarlas.
En esta guía encontrarás, paso a paso, cómo funciona la seguridad de Gmail, las diferencias entre TLS, S/MIME y el cifrado del lado del cliente (CLC), cómo activarlos, cómo comprobar el nivel de protección de cada mensaje y qué alternativas usar si trabajas con otras plataformas o necesitas funciones extra. La idea es que puedas enviar correos con la tranquilidad de que solo los leerá quien debe.
Seguridad en la capa de transporte (TLS): la base del cifrado en Gmail
El primer escudo de Gmail es TLS (Transport Layer Security), que se aplica de forma automática a todos los correos que envías o recibes. Piensa en TLS como la “furgoneta blindada” que transporta tu mensaje entre servidores.
¿Qué implica esto en la práctica? Si el proveedor del destinatario también acepta TLS, el tránsito se realiza cifrado y verás un icono de candado gris que identifica el cifrado estándar. La inmensa mayoría de servicios de correo modernos ya utilizan TLS.
Cuando el servidor del destinatario no soporta TLS, Gmail te lo deja claro: el mensaje puede mostrarse con un candado abierto en rojo. En ese caso, evita enviar información confidencial y revisa problemas de funcionamiento de Gmail o avisa al remitente o al contacto de que su sistema no cifra en tránsito.
S/MIME en Gmail: protección avanzada para cuentas de trabajo y educativas
Para necesidades más exigentes, Gmail soporta S/MIME en Google Workspace (trabajo y centros educativos). Con S/MIME cada usuario dispone de claves y certificados que permiten cifrar y firmar los mensajes, de modo que solo el destinatario autorizado puede descifrarlos.
Dentro de S/MIME hay dos formas de gestionar las claves que conviene distinguir: S/MIME alojado (Google conserva de forma segura una copia de la clave) y el Cifrado del Lado del Cliente (CLC), donde la organización controla exclusivamente las claves y ni siquiera Google puede acceder al contenido.
El indicador visual también cambia: los mensajes con S/MIME alojado muestran un candado de color verde (cifrado mejorado), mientras que los protegidos con CLC se identifican con un escudo azul (cifrado adicional). Ambas opciones elevan la seguridad respecto a TLS, especialmente cuando el intercambio es entre usuarios con S/MIME habilitado.
Cómo comprobar la seguridad de un correo en Gmail
Gmail te permite verificar la “salud” de cada mensaje en dos situaciones. Al redactar, en ordenador o Android, puedes abrir las opciones de Seguridad del mensaje y ver el nivel de protección disponible en función del destinatario.
Cuando recibes un correo, despliega los detalles del remitente para ver el apartado de Seguridad. Si aparece un candado rojo abierto, ese mensaje no viajó cifrado y conviene evitar responder con información sensible e informar a la otra parte.
Activar y usar S/MIME en Gmail (usuario final)
Si perteneces a una organización con Google Workspace y tu admin ha activado S/MIME, usarlo es muy sencillo. Redacta el mensaje como siempre y, junto al destinatario, pulsa en el candado para revisar el nivel de cifrado disponible.
En Ver detalles podrás seleccionar el nivel más alto compatible con el destinatario. Los colores te orientan: verde (S/MIME), gris (TLS) y rojo (sin cifrado). Apuesta siempre por el verde cuando ambas partes tengan S/MIME activo.
Activar el Cifrado del Lado del Cliente (CLC) en Google Workspace: guía para administradores
Antes de nada, una advertencia importante: el CLC no está disponible en cuentas personales de gmail.com. Esta sección está pensada para administradores que gestionan dominios de empresa, educación u otras organizaciones.
El CLC puede activarse por servicio y por unidades organizativas (UO) o grupos de configuración. Se recomienda habilitarlo solo a los usuarios que deban crear o gestionar contenido cifrado en cada producto:
- Google Drive: para quienes crean Documentos, Hojas o Presentaciones con CLC o suben archivos cifrados.
- Gmail: para los que envían y reciben mensajes cifrados del lado del cliente.
- Google Calendar: para usuarios que generan eventos cifrados. Si adjuntarán archivos CLC o convocarán reuniones cifradas, activa también CLC en Drive y Meet.
- Google Meet: para quienes organicen reuniones con CLC. No hace falta habilitarlo al resto de asistentes.
Los usuarios que solo necesitan leer o editar contenido cifrado no requieren la activación completa de CLC para crear. Basta con que su acceso permita visualizar o colaborar sobre contenido que ya está cifrado.
Pasos para activar o desactivar CLC por servicio, UO o grupo (rol de superadministrador): accede a la consola y ve a Menú Datos > Cumplimiento > Cifrado del lado del cliente.
En Aplicaciones, elige el servicio (Drive, Gmail, Calendar o Meet). Desde aquí también puedes pasar por “Cifrado con servicio de claves externo” o “Cifrado con claves de hardware” y pulsar Asignar; después, en “Cifrado por aplicación”, selecciona el servicio deseado. En el panel izquierdo, selecciona la UO o grupo donde aplicarás el cambio.
En Estado del cifrado del cliente, marca Activado o Desactivado y confirma en la ventana emergente. Si necesitas que los usuarios envíen correos CLC a destinatarios sin S/MIME, en Gmail activa “Cifrado con cuentas de invitado” (requiere el complemento Assured Controls o Assured Controls Plus).
Opcionalmente, puedes forzar que el cifrado esté activado por defecto en Gmail, Drive o Calendar en la web y apps móviles marcando “Habilitar cifrado del lado del cliente de forma predeterminada” para la UO. Esta preconfiguración también requiere Assured Controls o Assured Controls Plus. Los usuarios seguirán pudiendo desactivar el cifrado caso a caso.
En entornos con herencia de políticas, usa Anular para mantener tu ajuste si cambian los de la UO superior. Si el estado ya era Anulado, podrás elegir Heredar o Guardar para conservar el nuevo ajuste aunque cambien las políticas de nivel superior.
Ten presente que los cambios pueden tardar hasta 24 horas en propagarse, aunque lo normal es que apliquen antes. Si necesitas más información, consulta la documentación de administración de Google Workspace.
Si ya activaste CLC en Gmail: certificados S/MIME y metadatos
Cuando no se puede usar “Cifrado con cuentas de invitado” para Gmail tras activar CLC, es necesario preparar y subir los certificados S/MIME y los metadatos de las claves privadas cifradas de cada usuario que trabajará con CLC en Gmail.
Este paso garantiza que el ecosistema de claves y certificados está listo para cifrar y descifrar mensajes de manera segura. Consulta la guía específica de “Configurar el CLC de Gmail para los usuarios” para realizar la carga correctamente.
Solución de problemas con CLC
Si tus usuarios reportan errores al enviar o recibir con CLC, acude al Centro de alertas de tu consola. Allí verás incidencias y diagnósticos relacionados con el servicio de cifrado del lado del cliente que te ayudarán a localizar el fallo y actuar con rapidez.
Modo confidencial de Gmail: útil, pero no sustituye al cifrado
¿Usas una cuenta gratuita y quieres añadir un extra de control? El modo confidencial limita acciones como reenviar, copiar, imprimir o descargar, permite poner fecha de caducidad y pedir código SMS. Recuerda: no es cifrado de extremo a extremo.
Para enviar un mensaje confidencial: redacta el correo, activa el modo confidencial, elige expiración y, si quieres, solicita verificación por SMS indicando el número del destinatario. El contenido seguirá visible en tu carpeta de Enviados y el receptor podría hacer capturas de pantalla, así que no lo trates como un cifrado real.
Configurar envíos SMTP seguros (TLS/SSL) en “Enviar como” de Gmail
Si has notado errores al enviar desde cuentas configuradas en “Enviar como”, puede deberse a requisitos más estrictos de TLS en SMTP. Revisa y actualiza la configuración a SSL/puerto seguro en Gmail.
Pasos resumidos: entra en Gmail desde el navegador (consulta cómo configurar email IMAP, POP y SMTP), abre Configuración > Cuentas e importación, localiza la dirección en “Enviar como” y pulsa Editar datos. En el apartado de SMTP, introduce el servidor seguro (por ejemplo, dominio-ejemplo-com.correoseguro.dinaserver.com), el puerto 465 y marca la casilla SSL.
Guarda cambios y vuelve a probar. Con esta configuración, tus envíos seguirán cumpliendo los requisitos de seguridad TLS/SSL y evitarás errores por políticas recientes más estrictas.
Qué es el cifrado de correo y cómo funciona
El cifrado convierte el texto legible de un correo en datos ininteligibles que solo se pueden revertir con la clave adecuada. Se basa en criptografía de clave pública, donde cada usuario tiene una clave pública (para cifrar) y una privada (para descifrar).
Las autoridades de certificación emiten certificados digitales que vinculan claves públicas con identidades verificadas. Esto permite autenticidad y confianza al intercambiar mensajes cifrados. Algoritmos como RSA son habituales en estos esquemas.
Además, conviene distinguir entre cifrado en tránsito (protege mientras el mensaje viaja) y cifrado en reposo (protege cuando se almacena). La combinación de ambos reduce significativamente la superficie de ataque.
Protocolos de correo seguro: S/MIME y PGP/MIME
S/MIME utiliza una infraestructura con autoridades de certificación para gestionar identidad y algoritmos. Está integrado en iOS, macOS y es compatible con Gmail y Outlook, por lo que su adopción es muy amplia en entornos corporativos. Requiere certificados válidos para cada usuario.
PGP/MIME, por su parte, funciona con un modelo de confianza más descentralizado (web of trust). Es flexible y otorga mayor control al usuario, pero suele precisar herramientas de terceros, ya que muchos servicios no lo incorporan de serie. Si buscas control total y cifrado de extremo a extremo, PGP/MIME es una opción sólida.
Cifrar correo en otras plataformas y dispositivos
Outlook también soporta S/MIME y puedes configurar Outlook para usarlo. Debes obtener el certificado/ID digital, instalar el control S/MIME y, desde la configuración, decidir si cifras por defecto o firmas digitalmente. Para correos individuales, usa “más opciones” y activa “Cifrar este mensaje (S/MIME)”. Si el destinatario no tiene S/MIME, es posible que no pueda leer el correo.
En iPhone (iOS) el soporte S/MIME está incluido. Actívalo en Ajustes > Mail > Cuentas > Avanzado, y habilita “Encriptar por omisión”. Al redactar, verás un candado junto al destinatario que debe aparecer cerrado para que el mensaje se envíe cifrado.
En Android, el cifrado S/MIME o PGP/MIME suele requerir apps de terceros. Si usas Gmail y tienes S/MIME habilitado en Workspace, podrás beneficiarte en cualquier dispositivo al trabajar en el ecosistema corporativo.
Otras plataformas como Yahoo o AOL no incluyen S/MIME nativo en todos los casos, y necesitarán complementos para gestionar PGP/MIME o S/MIME. La regla general: si tu proveedor no integra el protocolo, instala una solución de terceros contrastada.
Herramientas y servicios para reforzar el cifrado del correo
- CipherMail destaca por su versatilidad: permite cifrar con S/MIME, OpenPGP, TLS y PDF. Ofrece edición de código abierto gratuita y opciones de pago. Es especialmente popular en Android.
- Mailvelope funciona como extensión de navegador (Chrome, Firefox, Edge) y cifra con OpenPGP en proveedores web como Gmail, Outlook o Yahoo. El proyecto es de código abierto y su extensión básica es gratuita.
- Virtru se integra muy bien con Gmail y Outlook y se apoya en el estándar abierto TDF (Trusted Data Format). Además de cifrar, añade controles como marcas de agua y permisos persistentes en adjuntos. Es sencillo para el usuario porque aloja y gestiona el intercambio de claves.
- Lockmagic ofrece una extensión para Gmail que facilita cifrar correos, establecer caducidad y aplicar un modelo de cifrado del lado del cliente basado en identidad. Su funcionamiento sin contraseña reduce fricción para el usuario final.
- Startmail admite PGP y se integra con servicios como Outlook o Gmail. Propone planes de pago y gratuitos según tus necesidades.
- Send 2.0 promete cifrado robusto “de nivel militar” y es compatible con Outlook y Gmail mediante plugin. Incluye diferentes planes para ajustarse a distintos escenarios.
- Enlocked permite enviar y recibir correo cifrado con PGP en Gmail, Yahoo, AOL, Microsoft y Outlook, con extensión para Chrome. Ofrece opciones gratuitas y de pago.
Cómo saber si un correo de Gmail está cifrado (iconos y colores)
Para verificar un mensaje recibido, ábrelo y pulsa la flecha junto al nombre del remitente para ver los detalles. En la sección Seguridad verás el tipo de cifrado aplicado.
- Verde: mensaje protegido con S/MIME (solo se descifra con la clave privada del destinatario).
- Gris: protegido mediante TLS estándar (funciona si ambos servidores soportan TLS).
- Rojo: el correo se ha enviado sin cifrado.
Si estás redactando, también puedes pulsar en el candado y en “Ver detalles” para comprobar el nivel disponible y, si procede, elevarlo. Da siempre preferencia al nivel más alto compatible entre emisor y receptor.
Se habla mucho de cifras, y no es casualidad: gran parte del tráfico de Gmail viaja cifrado por defecto con TLS, y las organizaciones pueden elevar el listón con S/MIME y CLC. Con todo lo anterior ya cuentas con un mapa claro para activar, verificar y optimizar el cifrado en Gmail, tanto si usas una cuenta personal con modo confidencial como si administras un dominio de Google Workspace con S/MIME y CLC bien configurados.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.