El cifrado de correo electrónico consiste en encriptar los mensajes de correo electrónico para proteger su contenido e impedir que sea leído por entidades distintas a los destinatarios previstos. El cifrado de correo electrónico también puede incluir autenticación .
El correo electrónico es propenso a la divulgación de información. Aunque muchos correos electrónicos se cifran durante la transmisión, con frecuencia se almacenan en texto plano, lo que potencialmente los expone al acceso no autorizado de terceros, incluidos los proveedores de servicios de correo electrónico. [ 1 ] Por defecto, los servicios de correo electrónico populares como Gmail y Outlook no habilitan el cifrado de extremo a extremo . [ 2 ] Utilizando ciertas herramientas disponibles, personas no autorizadas pueden acceder y leer el contenido del correo electrónico. [ 3 ]
El cifrado de correo electrónico puede basarse en la criptografía de clave pública , en la que cada usuario puede publicar una clave pública que otros pueden usar para cifrar los mensajes que les envían, mientras mantienen en secreto una clave privada que pueden usar para descifrar dichos mensajes o para cifrar y firmar digitalmente los mensajes que envían.
Protocolos de cifrado
Con el diseño original del protocolo de correo electrónico , la comunicación entre servidores se realizaba en texto plano , lo que suponía un grave riesgo para la seguridad . A lo largo de los años, se han propuesto diversos mecanismos para cifrar esta comunicación. El cifrado puede realizarse a nivel de transporte (también conocido como "salto a salto") o de extremo a extremo. El cifrado a nivel de transporte suele ser más fácil de configurar y usar; el cifrado de extremo a extremo ofrece una mayor protección, pero puede ser más complejo de configurar y usar.
Cifrado a nivel de transporte
Una de las extensiones de cifrado de correo electrónico más utilizadas es STARTTLS . Se trata de una capa TLS (SSL) sobre la comunicación en texto plano, que permite a los servidores de correo convertir su comunicación en texto plano en comunicación cifrada. Si los servidores de correo electrónico, tanto del remitente como del destinatario, admiten la comunicación cifrada, un intruso que monitorice la comunicación entre servidores de correo no podrá utilizar herramientas de análisis de paquetes para ver el contenido del correo electrónico. Existen extensiones STARTTLS similares para la comunicación entre un cliente de correo electrónico y el servidor de correo electrónico (véanse IMAP4 y POP3 , según lo establecido en la RFC 2595). STARTTLS puede utilizarse independientemente de si el contenido del correo electrónico está cifrado mediante otro protocolo.
El mensaje cifrado se revela y puede ser alterado por los servidores de retransmisión de correo electrónico intermedios. En otras palabras, el cifrado se produce entre servidores SMTP individuales , no entre el remitente y el destinatario. Esto tiene consecuencias tanto positivas como negativas. Una ventaja clave del cifrado de la capa de transporte es que los usuarios no necesitan hacer ni modificar nada; el cifrado se produce automáticamente al enviar un correo electrónico. Además, dado que las organizaciones receptoras pueden descifrar el correo electrónico sin la cooperación del usuario final, pueden ejecutar antivirus y filtros de spam antes de entregarlo al destinatario. Sin embargo, esto también significa que la organización receptora y cualquier persona que acceda ilegalmente a su sistema de correo electrónico (a menos que se tomen medidas adicionales) pueden leer o modificar fácilmente el correo electrónico. Si la organización receptora se considera una amenaza, entonces es necesario el cifrado de extremo a extremo.
La Electronic Frontier Foundation fomenta el uso de STARTTLS y ha lanzado la iniciativa «STARTTLS Everywhere» para «hacer que sea simple y fácil para todos ayudar a garantizar que sus comunicaciones (por correo electrónico) no sean vulnerables a la vigilancia masiva ». [ 4 ] El soporte para STARTTLS se ha vuelto bastante común; Google informa que en Gmail, el 90 % del correo electrónico entrante y el 90 % del correo electrónico saliente estaban cifrados usando STARTTLS para el 24 de julio de 2018. [ 5 ]
Históricamente, la verificación obligatoria de certificados no es viable para la entrega de correo electrónico por Internet sin información adicional, ya que muchos certificados no son verificables y pocos desean que la entrega de correo electrónico falle en ese caso. [ 6 ] Como resultado, la mayoría del correo electrónico que se entrega a través de TLS utiliza solo cifrado oportunista . DANE es un estándar propuesto que hace posible una transición incremental al cifrado verificado para la entrega de correo electrónico por Internet. [ 7 ] El proyecto STARTTLS Everywhere utiliza un enfoque alternativo: admite una "lista de precarga" de servidores de correo electrónico que se han comprometido a admitir STARTTLS, lo que puede ayudar a detectar y prevenir ataques de degradación .
Cifrado de extremo a extremo
En el cifrado de extremo a extremo , los datos se cifran y descifran únicamente en los puntos finales. En otras palabras, un correo electrónico enviado con cifrado de extremo a extremo se cifraría en el origen, resultando ilegible para proveedores de servicios como Gmail durante la transmisión, y luego se descifraría en su destino. Fundamentalmente, el correo electrónico solo se descifraría para el usuario final en su ordenador y permanecería cifrado e ilegible para un servicio de correo electrónico como Gmail, que no tendría las claves necesarias para descifrarlo. [ 8 ] Algunos servicios de correo electrónico integran el cifrado de extremo a extremo automáticamente.
Entre los protocolos más destacados para el cifrado de correo electrónico de extremo a extremo se incluyen:
OpenPGP es un estándar de cifrado de datos que permite a los usuarios cifrar el contenido de sus correos electrónicos. Existen diversos programas y complementos para clientes de correo electrónico que permiten cifrar el mensaje utilizando la clave pública del destinatario antes de enviarlo. En esencia, OpenPGP utiliza un esquema de criptografía de clave pública donde cada dirección de correo electrónico se asocia con un par de claves pública/privada.
OpenPGP permite a los usuarios finales cifrar el correo electrónico sin necesidad de intervención del servidor, garantizando que solo el destinatario previsto pueda leerlo. Sin embargo, OpenPGP presenta algunos problemas de usabilidad: requiere que los usuarios configuren pares de claves públicas/privadas y que las claves públicas estén ampliamente disponibles. Además, solo protege el contenido del correo electrónico, no los metadatos; una persona no autorizada aún puede ver quién envió un correo a quién.
Una desventaja general de los esquemas de cifrado de extremo a extremo, en los que el servidor no tiene claves de descifrado, es que hace que la búsqueda en el lado del servidor sea casi imposible, lo que afecta a la usabilidad.
El contenido de un correo electrónico también puede cifrarse de extremo a extremo colocándolo en un archivo cifrado (utilizando cualquier tipo de herramienta de cifrado de archivos [ 9 ] ) y enviando ese archivo cifrado como un archivo adjunto de correo electrónico . [ 10 ]
Manifestaciones
La demostración de correo electrónico cifrado y firmado a través de Internet ha demostrado que las organizaciones pueden colaborar eficazmente mediante correo electrónico seguro. Se superaron las barreras previas para su adopción, incluido el uso de un puente PKI para proporcionar una infraestructura de clave pública (PKI) escalable y el uso de medidas de seguridad de red que verifican el contenido cifrado que entra y sale de los límites de la red corporativa para evitar que el cifrado se utilice para ocultar la introducción de malware y la fuga de información.
Configuración y uso del cifrado de correo electrónico
La organización receptora debe configurar el cifrado de la capa de transporte mediante STARTTLS. Esto suele ser sencillo: basta con obtener un certificado válido y habilitar STARTTLS en el servidor de correo electrónico de la organización receptora. Para evitar ataques de degradación, las organizaciones pueden enviar su dominio a la «Lista de políticas de STARTTLS» [ 11 ].
La mayoría de los clientes de correo electrónico con todas las funciones ofrecen soporte nativo para el correo electrónico seguro S/MIME ( firma digital y cifrado de mensajes mediante certificados ). Otras opciones de cifrado incluyen PGP y GNU Privacy Guard (GnuPG). También hay disponible software gratuito y comercial (aplicaciones de escritorio, correo web y complementos). [ 12 ]
Si bien PGP puede proteger los mensajes, también puede ser difícil de usar correctamente. Investigadores de la Universidad Carnegie Mellon publicaron un artículo en 1999 que mostraba que la mayoría de las personas no sabían cómo firmar y cifrar mensajes usando la versión actual de PGP. [ 13 ] Ocho años después, otro grupo de investigadores de Carnegie Mellon publicó un artículo de seguimiento que indicaba que, aunque una versión más reciente de PGP facilitaba el descifrado de mensajes, la mayoría de las personas seguían teniendo dificultades para cifrar y firmar mensajes, encontrar y verificar las claves de cifrado públicas de otras personas y compartir sus propias claves. [ 14 ]
Dado que el cifrado puede resultar difícil para los usuarios, los responsables de seguridad y cumplimiento normativo de empresas y organismos gubernamentales automatizan el proceso para empleados y directivos mediante dispositivos y servicios de cifrado. En lugar de depender de la cooperación voluntaria, el cifrado automatizado, basado en políticas definidas, elimina la necesidad de que los usuarios tomen la decisión y gestionen el proceso. Los correos electrónicos se enrutan a través de un dispositivo de puerta de enlace configurado para garantizar el cumplimiento de las políticas normativas y de seguridad. Los correos electrónicos que lo requieren se cifran y envían automáticamente. [ 15 ]
Si el destinatario trabaja en una organización que utiliza el mismo dispositivo de puerta de enlace de cifrado, los correos electrónicos se descifran automáticamente, lo que hace que el proceso sea transparente para el usuario. Los destinatarios que no se encuentran detrás de una puerta de enlace de cifrado deben realizar un paso adicional, ya sea obtener la clave pública o iniciar sesión en un portal en línea para recuperar el mensaje. [ 15 ] [ 16 ]
Proveedores de correo electrónico cifrado
Desde el año 2000, el número de proveedores de correo electrónico cifrado disponibles ha aumentado significativamente. [ 17 ]
Véase también
- Autenticación de correo electrónico : técnicas destinadas a proporcionar información verificable sobre el origen de los mensajes de correo electrónico.
- Privacidad del correo electrónico : información general sobre la protección de los derechos de privacidad personal.
- Cifrado de extremo a extremo : método de comunicaciones seguras
- HTTPS : extensión HTTP que admite el cifrado TLS.
- Clave (criptografía) : se utiliza para codificar o decodificar textos cifrados.
- Proveedor de buzones de correo – Proveedor de alojamiento de correo electrónico
- Mensajería segura : método para intercambiar información de forma segura.
Referencias
- ↑ "Cifrado de correo electrónico en tránsito" . Ayuda de Gmail . Google Inc. Consultado el 15 de junio de 2020 .
- ↑ "Habilitar S/MIME alojado para mejorar la seguridad de los mensajes" . Ayuda para administradores de G Suite . Google Inc. Consultado el 15 de junio de 2020 .
- ↑ SMEmail – Un nuevo protocolo para el correo electrónico seguro en entornos móviles , Actas de la Conferencia Australiana de Redes y Aplicaciones de Telecomunicaciones (ATNAC'08), págs. 39–44, Adelaida, Australia, diciembre de 2008.
- ↑ "Anuncio de STARTTLS en todas partes: Garantizando la entrega segura de correo electrónico de salto a salto" . Vigente desde el 25 de junio de 2018. Consultado el 14 de julio de 2018 .
- ↑ "Cifrado de correo electrónico en tránsito" .
- ↑ "Soporte TLS de Postfix" . Postfix.org . Consultado el 16 de abril de 2014 .
- ↑ Dukhovni; Hardaker (2015-10-14). SMTP Security via Opportunistic DANE TLS . IETF . doi : 10.17487/RFC7672 . RFC 7672 .
- ↑ "Cifrado de extremo a extremo" . How To Geek . 2 de julio de 2013. Consultado el 9 de abril de 2015 .
- ↑ Mitchell, Paul (16 de enero de 2022). "Envío de correos electrónicos cifrados con PGP" . Privacy Dedicated Library .
- ↑ "Proteja los archivos adjuntos de correo electrónico con 7-Zip" . Columbia College Information Technology, Columbia University . Consultado el 16 de julio de 2018 .
- ↑ Preguntas frecuentes de STARTTLS. Consultado el 24 de julio de 2018.
- ↑ Eric Geier, PCWorld. " Cómo cifrar tu correo electrónico ". 25 de abril de 2012. Consultado el 28 de mayo de 2014.
- ↑ Klint Finley, WIRED. " El renovado Gmail de Google podría popularizar el cifrado ". 23 de abril de 2014. Consultado el 4 de junio de 2014.
- ↑ En Seguridad y usabilidad: Diseño de sistemas seguros que la gente pueda usar, eds. L. Cranor y G. Simson. O'Reilly, 2005, pp. 679-702. " Por qué Johnny no sabe cifrar ".
- 1 2 Por Luis Rivera, SC Magazine. " Protegiendo la privacidad del cliente mediante el cifrado de correo electrónico ". 11 de marzo de 2014. 18 de julio de 2014.
- ↑ Gibson, Stan (22 de julio de 2014). "La seguridad de los datos sanitarios ahora está definida por los clientes ligeros de cifrado" . SearchHealthIT .
- ↑ Sparrow, Elijah; Halpin, Harry; Kaneko, Kali; Pollan, Ruben (2016). «LEAP: Un proveedor de correo electrónico cifrado y VPN de próxima generación para clientes» . En Foresti, Sara; Persiano, Giuseppe (eds.). Criptología y seguridad de redes . Lecture Notes in Computer Science. Vol. 10052. Cham: Springer International Publishing. pp. 176–191 . doi : 10.1007/978-3-319-48965-0_11 . ISBN 978-3-319-48965-0.
- Privacidad en Internet
- Autenticación de correo electrónico
- Infraestructura de clave pública