He aquí por qué su correo electrónico es inseguro y es probable que permanezca de esa manera

El correo electrónico es el método de comunicación más omnipresente en Internet, tal vez incluso en el planeta. Está integrado en casi todo, desde teléfonos y tabletas hasta computadoras tradicionales y dispositivos de juego; diablos, incluso los electrodomésticos y automóviles conectados pueden enviar correos electrónicos. Más importante aún, estar «en Internet» significa tener una dirección de correo electrónico (o docenas de ellas); son nuestras identificaciones, cómo nos registramos, cómo recibimos avisos y, a veces, incluso nos comunicamos entre nosotros. El correo electrónico es la «aplicación asesina» original.»

Pero el correo electrónico no se diseñó teniendo en cuenta la privacidad o la seguridad. Ha habido muchos esfuerzos para hacer que el correo electrónico sea más seguro, pero el reciente cierre de servicios de correo electrónico seguros altamente promocionados como Lavabit (supuestamente utilizado por el filtrador de la NSA Edward Snowden) y Silent Circle a raíz de los programas de vigilancia del gobierno ponen de relieve las dificultades. La falta de seguridad del correo electrónico también está teniendo algunos daños colaterales sorprendentes, como el cierre anunciado del respetado blog de software y leyes GrokLaw.

¿Es imposible la seguridad del correo electrónico? ¿Estamos viendo el final de la aplicación asesina de Internet?

¿Por qué el correo electrónico no es seguro?

El correo electrónico no es seguro porque nunca fue pensado para ser el centro de nuestras vidas digitales. Se desarrolló cuando Internet era un lugar mucho más pequeño para estandarizar mensajes simples de almacenamiento y reenvío entre personas que usaban diferentes tipos de computadoras. Todo el correo electrónico se transfería completamente al aire libre, todo era legible para cualquier persona que pudiera ver el tráfico de red o acceder a cuentas (originalmente ni siquiera las contraseñas estaban cifradas). Sorprendentemente, el correo electrónico enviado utilizando esos métodos abiertos aún funciona (en su mayoría).

Hoy en día, hay cuatro lugares básicos donde el correo electrónico de la mayoría de las personas puede verse comprometido:

  • En sus dispositivos
  • En las redes
  • En los servidores
  • En los dispositivos de su destinatario)

El primer y el último lugar, los dispositivos, son fáciles de entender. Si alguien puede sentarse frente a su computadora, agarrar su teléfono o deslizar a través de su tableta, lo más probable es que su correo electrónico esté allí para que lo lean: usted usa una pantalla de bloqueo o una contraseña en sus dispositivos, ¿verdad? Lo mismo ocurre con los dispositivos de tus destinatarios. Pero incluso las contraseñas y las pantallas de bloqueo a veces no son de mucha ayuda. Si bien algunos programas de correo electrónico cifran los mensajes de correo electrónico que almacenan en el dispositivo, la mayoría no lo hacen, lo que significa que cualquier persona (o cualquier programa) que pueda acceder al almacenamiento interno del dispositivo probablemente también pueda leer el correo electrónico y acceder a los archivos adjuntos. ¿Suena descabellado? No tiene que ser una persona; revisar el correo electrónico es una de las cosas más comunes que hace el malware.

Las redes son un poco más difíciles de entender y cubren tres enlaces básicos:

  • Su conexión a su proveedor de correo electrónico (ya sea su ISP, Google, Outlook, Yahoo, Apple u otra persona)
  • Cualquier conexión de red entre su proveedor de correo electrónico y su destinatario
  • La conexión de red de su destinatario a su proveedor de correo electrónico.

Si estás enviando correo electrónico a alguien en el mismo servicio que usas (por ejemplo, Outlook.com), tiene al menos la primera y tercera vulnerabilidades de red potenciales: su conexión a Outlook.com y la conexión de su destinatario a Outlook.com. Si el correo electrónico de su destinatario está en otro lugar (por ejemplo, una empresa o escuela), entonces tiene al menos uno más: la conexión entre Outlook.com y el proveedor de correo electrónico de tu destinatario. La realidad de la topografía de la red significa que cada una de esas conexiones involucra una serie de enrutadores y conmutadores (quizás una docena o más), probablemente propiedad y operados por diferentes equipos. Si una conexión es segura, no hay garantía de que ninguna otra conexión de la secuencia sea segura. Y si te preocupan cosas como el programa de vigilancia PRISM de la NSA, hasta ahora hay indicios de que parte de esto sucede en estos puntos provisionales de la red.

El correo electrónico no se diseñó teniendo en cuenta la privacidad o la seguridad.

Los servidores son las máquinas de su proveedor de correo electrónico o ISP que almacenan físicamente su correo electrónico. Si alguien descubre (adivina o roba) tu contraseña de correo electrónico, probablemente no necesite tus dispositivos; pueden iniciar sesión en su proveedor de correo electrónico directamente y leer cualquier correo electrónico almacenado allí. Pueden ser solo unos pocos mensajes, pero podrían ser semanas, meses o años de correo electrónico, incluidos al menos algunos mensajes que haya eliminado. Pero ese no es el único riesgo. La mayoría de los servicios de correo electrónico almacenan sus mensajes como texto sin formato. Por lo tanto, cualquier atacante que pueda acceder a esos servidores (por ejemplo, a través de un defecto de seguridad o robando una contraseña de administrador) puede acceder fácilmente a todos los correos electrónicos y archivos adjuntos almacenados. ¿Por qué los proveedores no protegen el correo electrónico almacenado? En parte debido a la sobrecarga que crearía, pero almacenar el correo electrónico sin cifrar permite a las personas buscar en sus mensajes (¿te gusta buscar en tu correo electrónico, verdad?) y permite que servicios como Gmail escaneen automáticamente el correo en busca de palabras clave para vender publicidad (y te gusta la publicidad, ¿verdad?).

¡Cifrado al rescate!

La mejor manera de proteger las comunicaciones es cifrarlas: básicamente, codificar los datos con transformaciones matemáticas complejas para que solo sean inteligibles utilizando la contraseña u otras credenciales correctas. Una forma común de cifrado es la criptografía de clave pública, donde las personas (o ISP o empresas) regalan una clave pública que cualquiera puede usar para codificar datos destinados a ellos, pero solo se puede decodificar utilizando una clave privada que la persona (o ISP o empresa) mantiene en secreto.

La criptografía de clave pública es la base de dos formas principales de proteger el correo electrónico:

  • Cifrar mensajes
  • Cifrar conexiones de red

Cifrar mensajes

La idea detrás de los mensajes cifrados es sencilla: en lugar de enviar texto plano que cualquiera pueda leer, envías gobbledegook codificado que solo el destinatario deseado puede leer. Las herramientas comunes para cifrar el correo electrónico incluyen PGP (ahora un producto comercial de Symantec) y numerosas aplicaciones y herramientas convencionales que admiten OpenGPG y S/MIME de código abierto.

Cifrar mensajes es una idea sencilla, pero el enfoque tiene pros y contras. En el lado positivo, los mensajes cifrados están protegidos en redes y servidores, incluso si están comprometidos o almacenan mensajes como texto sin formato. (¡Aunque el gobbledegook podría hacer que Gmail mostrara algunos anuncios extraños!) Es probable que el mensaje también esté encriptado en tu dispositivo y en los dispositivos de tu destinatario (hasta que lo decodifiquen), lo que ofrece cierta protección adicional. Todo está bien.

Ahora las desventajas. Cifrar mensajes individuales es un dolor. Tienes que tener la clave pública de todas las personas con las que quieras comunicarte de forma segura. Para una o dos personas, no está mal, pero la mayoría de las personas tienen docenas (o cientos) de contactos. Poner todos ellos en funcionamiento con criptografía de clave pública no será fácil.

Además, todos los que quieran enviarte un correo electrónico seguro necesitan tu clave pública. Puede enviársela por correo electrónico, pero no estará encriptada, por lo que no es segura. Lo mismo con una publicación de blog o una página de Facebook o servicios de servidor de claves o cualquier otro canal inseguro. La única forma realmente segura de intercambiar claves públicas es cara a cara o de alguna otra manera que pueda estar realmente seguro de que está recibiendo la clave correcta de la persona adecuada. Eso puede ser muy poco práctico. Algunas personas que te envían correos electrónicos confidenciales, como bancos, compañías de tarjetas de crédito, hospitales, escuelas o la clínica de fertilidad local, probablemente no usarán (o no sabrán cómo) tu clave pública, incluso si la tuvieran. En resumen, no muchos de sus mensajes de correo electrónico se cifrarán, por lo que cifrar mensajes no es una solución general para un correo electrónico seguro.

Pero espera! Hay más desventajas en cifrar mensajes. Solo se codifican el contenido del mensaje (y los archivos adjuntos, si los hay). La información del encabezado (incluida su dirección, la dirección del destinatario, el asunto, la fecha y más) sigue siendo texto plano que cualquiera puede leer. Esa información puede ser solo metadatos, pero con el tiempo puede pintar una imagen sorprendentemente detallada de sus actividades en línea. (¡Pregúntale a la NSA!¿Quieres otro inconveniente? Intente iniciar sesión en su correo web y buscar un número de teléfono o dirección a través de correo encriptado.

Cifrar conexiones

Los problemas con los mensajes cifrados significan que gran parte del enfoque en la protección del correo electrónico se ha centrado en cifrar las conexiones de red. La idea básica es la misma que usar un sitio web seguro como su banco o Amazon.com. Cuando se conecta a su proveedor de correo electrónico, su software utiliza la seguridad de la capa de transporte (TLS, aún más conocida como SSL) para cifrar la conexión entre su dispositivo y el servicio. Incluso se encarga del intercambio de claves: la mayoría de los dispositivos de hoy en día vienen preinstalados con claves para autoridades de certificación, donde pueden descargar claves autenticadas para sitios y servicios sin molestar a los usuarios: sin problemas, sin problemas, sin volar a Australia para intercambiar claves públicas con alguien. La tecnología básica ha funcionado para el comercio electrónico durante casi dos décadas.

Esa información puede ser solo metadatos, pero con el tiempo puede pintar una imagen sorprendentemente detallada de sus actividades en línea.

Cifrar la conexión entre tú y tu proveedor de correo electrónico significa que nadie en la red intermedia puede ver los mensajes de correo electrónico que envías o recibes: todo es gobbledegook. Eso lo protege de la infiltración en la red Wi-Fi local e incluso de las escuchas secretas del gobierno en un centro de datos en algún lugar del camino.

Sin embargo, una vez que el mensaje llegue a su proveedor de correo electrónico, todas las apuestas están canceladas. La mayoría de las veces, su proveedor de correo electrónico almacena los datos del mensaje como texto sin formato (consulte más arriba), aunque hay excepciones como Hushmail de Canadá. Y si su destinatario está en otro proveedor de correo electrónico o ISP, su mensaje podría ser (¡y probablemente lo sea!) se les transmite a través de Internet como correo electrónico de texto sin formato de la vieja escuela. Un número creciente de servicios de correo electrónico están utilizando TLS para cifrar las conexiones entre ellos, pero la gran mayoría de los servidores de correo electrónico en el mundo todavía intercambian mensajes sin cifrado, y no hay forma de que lo sepa. Además, no se sabe si su destinatario usará una conexión protegida para recibir o responder a su correo electrónico. Es posible que se haya protegido de la infiltración en la red Wi-Fi pública, pero ¿lo hizo su médico o contador? Tal vez no.

¿Está condenado el correo electrónico?

El correo electrónico no desaparecerá en el corto plazo. Es demasiado útil, y su estado casi universal en casi todos los dispositivos y servicios garantiza que el correo electrónico esté con nosotros durante muchos años.

Pero, ¿correo electrónico seguro? La conclusión es que el correo electrónico tal y como lo conocemos hoy en día nunca ha sido seguro, y las innumerables formas en que enviamos, recibimos, almacenamos y usamos mensajes de correo electrónico hacen que la seguridad total del correo electrónico sea un problema muy difícil. Como mucho.

Podemos inventar nuevos servicios de mensajes seguros que podrían reemplazar al correo electrónico. Eso es lo que Silent Circle ha hecho con su servicio de comunicaciones cifradas, y posiblemente eso es lo que BlackBerry hizo con BBM y lo que Apple pudo haber hecho con iMessage. Sin embargo, estos servicios están sujetos a solicitudes de divulgación por parte de los gobiernos, aunque Silent Circle da el interesante paso de poder responder con casi nada. Más importante aún, es probable que ninguno tenga la amplia ubicuidad y el alcance casi omnipresente del correo electrónico en cualquier punto a medio o incluso a largo plazo. Con suerte, la dificultad no impedirá que la gente lo intente, y el Mega de Kim Dotcom ya está lanzando su sombrero al ring.

Pero, en el futuro previsible, los usuarios de Internet no pueden esperar que el correo electrónico esté a salvo de miradas indiscretas o de interceptación. Periodo.

Imagen superior cortesía de /3dreams

Recomendaciones de editores

  • Las mejores aplicaciones de mensajería cifrada para iOS y Android
  • Las mejores ofertas de VPN baratas para febrero de 2021
  • Cómo evitar que se rastreen sus correos electrónicos y preservar su privacidad
  • Cómo proteger su teléfono inteligente de hackers e intrusos
  • Cómo cambiar la contraseña de Outlook

Deja una respuesta

Tu dirección de correo electrónico no será publicada.