Lo se todo. Cuando quiera.

"Google tiene todo lo que necesita para leer tus datos", escribe Martin Shelton, empleado de la compañía durante dos años y medio, desde 2017 hasta el pasado septiembre. Shelton es ahora investigador principal en la fundación Freedom of the Press, donde ha publicado un artículo sobre la que fue su empresa.La afirmación de Shelton tiene implicaciones muy relevantes. No solo Google tiene acceso a los documentos en su nube, sino que también están al alcance de los organismos del Gobierno de Estados Unidos que necesiten información. Y más aún, los administradores de las empresas que usan su herramienta colaborativa G Suite y quieren acceder al trabajo de sus empleados podrían hacerlo, según el ingeniero.

El mensaje del experto es que la nube es accesible: desde Google Docs a un buzón de correo. Esto no supone ninguna afirmación explosiva en 2019. EL PAÍS contactó con Shelton para preguntarle si con su artículo revelaba algún tipo de información interna, más cuando debía estar bajo un acuerdo de confidencialidad con la empresa tras su salida: "Todo lo que he contado ahí está basado en documentos públicos, y cada cual puede ir a mirarlo por sí mismo", explica. Y añade: "Ahora investigaré cómo Microsoft Office 365 maneja los datos de los usuarios del mismo modo".

El argumento que Martin Shelton quiere destacar es que todo lo que está en la nube es susceptible de ser consultado por terceros. Así que quien maneje información sensible –o datos que un día puedan llegar a serlo–, que use otro lugar, pero no la nube. "Google tiene muchas razones por las que puede acabar leyendo tu información", escribe el ingeniero.

Google comenzó a expulsar al azar en octubre de 2017 a usuarios de su servicio de Google Docs. Justificaba su decisión en que el usuario había "violado los términos de servicio". ¿Cómo puede saber la compañía que alguien ha violado sus términos de servicio en un documento de Drive? Porque los lee. "Usamos sistemas automatizados que analizan tu contenido para proporcionarte cosas como resultados de búsqueda adecuados, anuncios personalizados u otras funciones sobre cómo usas nuestros servicios. Y analizamos tu contenido para que nos ayudes a detectar spam [correo no solicitado, con fines comerciales], virus y contenido ilegal", dice Google en su política de privacidad. Gmail detecta maravillosamente el spam porque lee y analiza los mensajes de correo de todos sus usuarios. Es un servicio útil. Esto no implica que haya empleados de Google ojeando documentos en los buzones para encontrar ilegalidades. Pero podrían hacerlo si quisieran.

Martin Shelton admite que no supo nada sobre este asunto hasta bastante tiempo después de haber entrado a trabajar en Google: "Durante mucho tiempo ni siquiera yo tenía ni idea", y añade: "Trabajé en el equipo de [el navegador] Chrome. Google trabaja en tantos proyectos distintos que es difícil seguirlos todos. No sabía sobre estos sistemas hasta que empecé a investigarlos en serio". Es sin embargo sabido que los controles físicos —cámaras, vigilancia, logs de quién tiene acceso— de la empresa en sus centros de datos son severos. Pero se sabe menos sobre qué empleados tienen permiso para husmear en la información: "No sabemos cuánta gente en Google tiene acceso a datos de usuarios, ni cómo se determina su acceso. ¿A qué tipo de datos pueden tener acceso y en qué circunstancias? ¿Cuánta gente puede recuperar esa información con una petición legal? No lo sabemos", escribe Shelton.

Pocos en el sector de la ciberseguridad se sorprenden al saber estos detalles. "Esto es lo de siempre. Cuando aceptas los términos y condiciones te 'pliegas' a la arbitrariedad del proveedor de turno. Los problemas habituales (no mediáticos) y que demuestran la tutela de Google sobre el contenido que se sube es la supresión de material con copyright o que se considera que 'vulnera la normativa de Google'", dice Enric Luján, profesor de Ciencia Política especializado en tecnología y privacidad de la Universidad de Barcelona y miembro del grupo Críptica. Pero los usuarios sospechan menos que sus documentos en la nube son accesibles y que es mejor que guarden su información confidencial en herramientas encriptadas o, casi mejor, fuera del ordenador. Es una llamada más a abrir los ojos, según Shelton: "Hacer que G Suite esté encriptado es un desafío técnico enorme. Puede potencialmente romper algunas de las funciones de Google", dice Shelton a EL PAÍS. "Si Google no pudiera leer los emails perderían la opción de escanear para detectar contenido malicioso, lo que es una gran ventaja de G Suite. Pero si pierden la capacidad de leer tus documentos, puedes perder la corrección ortográfica o algunas capacidades de búsqueda en Google Cloud. A mí me parecería bien", añade.