¿Cómo puedo utilizar la contraseña de aplicación OAuth2 con Gmail de
Google desde Thunderbird en Ubuntu?

Sometido al ostracismo del exilio, Juan Perón explica cómo activar y
utilizar la autenticación de dos pasos OAuth2 de Gmail de Google con
Thunderbird en Ubuntu.

(...)

¡Trabajadores!

A partir de este 1 de junio, el oprobio ha caído no sólo sobre nuestra
Patria, sino sobre todas las tierras habitadas por los hombres de Bien.

Es que el clásico y eficiente procedimiento de conexión al servidor de
correo por usuario y contraseña para utilizar Gmail de Googl€ -
permisivo durante mucho tiempo - ha sido invalidado por tal abyecto
proveedor de servicios telemáticos.

Lo notaremos ya que nuestros clientes de correo electrónico (Thunderbird
y Alpine entre otros), el cliente "nos dejará pagando", y no podremos
ingresar. A pesar de que indiquemos la contraseña de usuario, el
servicio no podrá establecerse, ni para sincronizar una casilla IMAP y
mucho menos una POP3.

Por principio, esto no debe amilanarnos. Existen ya múltiples
proveedores libres capaces de ofrecernos correo electrónico, tales como
https://riseup.net/, https://autistici.org/ o bien
https://mailnesia.com/. Y llegado el caso, podremos hacerlo nosotros
mismos.

Ahora bien, podremos seguir utilizando la casilla de correo electrónico
sin cifrado que provee Googl€ por medio del procedimiento de
autenticación de dos pasos, llamado OAuth. Aún así, debemos considerar
gravemente que implica proveer un número de celular (normalmente
asociado con un país de residencia). A su vez, la tarea de certificación
implicaría utilizar el mismo dispositivo que utilizaremos para conectar
el cliente (ya sea móvil o un equipo de escritorio). Esta supuesta
mejora en seguridad esconde un elevadísimo riesgo a la privacidad
electrónica individual y grupal. En particular, toda actividad de correo
quedará asociada a una cuenta y a un dispositivo, y para peor, a uno
geográficamente rastreable por medio de metadatos y metrías de conexión
inalámbrica por ondas abiertas, las cuales son la forma de utilizar las
líneas telefónicas celulares.

Sólo este riesgo cabría describirlo como inaceptable y defectuoso por
diseño, por lo cual debemos considerar muy seriamente desechar
directamente todo uso de Googl€ y sus servicios de opresión y vasallaje.

Sin embargo, en las condiciones en las cuales necesitemos continuar
utilizando tan oprobioso mecanismo para un simple correo electrónico -
que puede obtenerse de forma mas segura a través de otros proveedores
menos invasivos que Googl€ - podremos continuar utilizandolo activando
el proceso OAuth2.

En primer lugar en nuestro cliente Thunderbird debemos presionar el
botón ≡ y verificar las Preferencias Generales de nuestro cliente de
correo electrónico. Para ello vamos a Preferencias y en la ventana
elegimos el apartado Privacía y Seguridad. En el apartado Contenido Web
normalmente estará tildada la opción la opción Aceptar Cookies de los
sitios (opción por defecto.

Sin embargo, podría suceder que querramos destildar esta opción, para
evitar absolutamente descarga de cookies por un cliente de correo
electrónico.

Si no deseamos Aceptar Cookies de los Sitios, a partir del 1 de junio de
2022 deberíamos utilizar método de OAuth2 para poder acceder desde
aplicaciones.

Podremos aceptar todas las cookies (no recomendado), o crear una
excepción a la cookie de Google. Para hacer este temperamento,
presionamos el botón Excepciones...

En el campo Dirección del Sitio Web del cuadro de diálogo de Cookies -
Excepciones, ingresamos la URL https://accounts.google.com y presionamos
el botón Permitir.

 Una vez que el sitio esté agregado, presionamos Guardar Cambios.

Crear contraseña para aplicación

Pues bien señores, cada aplicación podrá recibir una contraseña
pasavante de 16 cifras - creada al azar por Googl€ - que puede emplearse
para autorizar la recepción y envío de correo electrónico. Tal método
nos permitirá reutilizar el correo electrónico Google IMAP a través de
los clientes como Thunderbird y mi favorito, el Alpine.

Es importante recalcar que esta contraseña pasavante sólo cobra utilidad
para el servicio de correo Gmail, y no equivale a la del usuario de
Googl€. Antiguamente, utilizábamos la contraseña de usuario de Googl€
para "entrar al mail", lo que a partir de ahora no tiene más efecto. La
contraseña pasavante para la aplicación de correo puede guardarse en el
llavero de contraseñas de Ubuntu, ya que permanece asociada al
dispositivo (lo cual nos salva de tener que recordar una contraseña
alfanumérica difícil). Es sabido mi recomendación de guardarla en algún
medio seguro, entendiendo por esto en un registro papel físicamente
protegido.

Para crear la contraseña pasavante, utilizamos un navegador certificado
(Firefox funciona bien) desde el mismo dispositivo donde tenemos el
cliente. Iremos a las opciones de la cuenta de Google, y generaremos una
clave.

Para ello nos damos de alta al usuario de Google, y hacemos clic en el
avatar de usuario, seleccionamos la opción "Gestionar tu cuenta de
Googl€".

En la web de gestión, seleccionamos el apartado Seguridad, y activamos
la sección Verificación de dos pasos. El procedimiento implicará dotar
un número de teléfono móvil.

En mi caso denunciaré una línea celular de un proveedor móvil que ya no
existe, instalada en un móvil obsoleto que descartaré.

Conforme se ha activado la Verificación de dos pasos, crearemos una
contraseña pasavante de aplicación para los clientes de correo de Linux.

Para ello seleccionamos el apartado Contraseñas de Aplicaciones. En el
selector desplegable Seleccionar Aplicación elegimos "Correo", y en el
selector desplegable Seleccionar Dispositivo será necesario escoger
"Otra (nombre personalizado)".

Le damos un nombre de dispositivo (por ejemplo, "Correo IMAP desde
Linux") y presionamos el botón Generar.

El sistema OAuth enviará un código de verificación al teléfono móvil
sosías, y al introducir el mismo en la web de autenticación de Googl€,
se generará un código de contraseña de aplicación (pasavante) de 16
caracteres para la función de correo IMAP de Gmail.

Al mismo tiempo, debería arribar una notificación a la casilla de correo
electrónico indicando que "se ha creado una contraseña de aplicación
para iniciar sesión en tu cuenta".

Podrás utilizar ahora esta contraseña pasavante asociada a tu usuario de
correo electrónico Gmail desde Thunderbird o bien otros clientes
compatibles con OAuth2 desde Linux (por ejemplo, funciona también con
Alpine).

Cuando aparezca ahora el diálogo de la contraseña, ingresamos la
contraseña de 16 dígitos creada en Googl€.

Una vez provista dicha contraseña pasavante, los clientes de correo
deberían poder recibir correos y a su vez enviar mensajes. Deberían
comprobar el correcto envío y recepción de correo electrónico desde
dicha casilla de correo. También podrán agregar dicha contraseña
pasavante al Gestor de Contraseñas de Ubuntu ("llavero"), de modo de no
tener que ingresarlas toda vez que iniciemos sesión en el escritorio de
Ubuntu.

Naturalmente han de notar que una vez que activado el proceso OAuth de
la cuenta Google, podríamos nuevamente desactivar las Cookies en
Thunderbird, porque recibir y enviar correo electrónico funcionará sin
las cookies. Sin embargo, he de decirles que en caso de que el token
OAuth de Gmail expirara (en algún momento futuro), el cuadro de diálogo
aparecería nuevamente y habremos de generar otra contraseña pasavante.

En conclusión, Googl€ se encarga de erosionar el uso de sus servicios si
no proveemos información que les permita el rastreo. No debe usarse este
sistema y debe desechárselo en lo posible.