El correo electrónico es el método de comunicación más omnipresente en Internet, tal vez incluso en todo el planeta. Está integrado en casi todo, desde teléfonos y tabletas hasta computadoras tradicionales y dispositivos de juego; diablos, incluso los electrodomésticos y automóviles conectados pueden enviar correo electrónico. Más importante aún, estar “en Internet” significa tener una dirección de correo electrónico (o docenas de ellas); son nuestras identificaciones, cómo nos registramos para recibir cosas, cómo recibimos avisos y, a veces, incluso cómo nos comunicamos entre nosotros. El correo electrónico es la "aplicación asesina" original.
Pero el correo electrónico no fue diseñado con cualquier privacidad o seguridad en mente. Se han realizado muchos esfuerzos para hacer que el correo electrónico sea más seguro, pero el reciente cierre de servicios de correo electrónico seguros muy promocionados como Lavabit (supuestamente utilizado por el filtrador de la NSA Edward Snowden) y Circulo silencioso
a raíz de los programas de vigilancia gubernamentales ponen de relieve las dificultades. La falta de seguridad del correo electrónico también está teniendo algunos daños colaterales sorprendentes, como el cierre anunciado del respetado blog de software y derecho. GrokLaw.Vídeos recomendados
¿Es inútil la seguridad del correo electrónico? ¿Estamos ante el fin de la aplicación asesina de Internet?
¿Por qué el correo electrónico no es seguro?
El correo electrónico no es seguro porque nunca estuvo destinado a ser el centro de nuestra vida digital. Se desarrolló cuando Internet era un lugar mucho más pequeño para estandarizar mensajes simples de almacenamiento y reenvío entre personas que usaban diferentes tipos de computadoras. Todo el correo electrónico se transfirió completamente al aire libre: todo era legible por cualquiera que pudiera observar el tráfico de la red o acceder a las cuentas (originalmente ni siquiera las contraseñas estaban cifradas). Sorprendentemente, el correo electrónico enviado utilizando esos métodos abiertos todavía (en su mayoría) funciona.
Hoy en día, existen cuatro lugares básicos donde el correo electrónico de la mayoría de las personas puede verse comprometido:
- En su(s) dispositivo(s)
- en las redes
- En el servidor(es)
- En los dispositivos de su destinatario
El primer y el último lugar (los dispositivos) son fáciles de entender. Si alguien puede sentarse frente a su computadora, tomar su teléfono o pasar el dedo por su tableta, lo más probable es que su correo electrónico esté ahí para que lo lea. hacer usa una pantalla de bloqueo o contraseña en tus dispositivos, ¿verdad? Lo mismo ocurre con los dispositivos de sus destinatarios. Pero a veces ni siquiera las contraseñas y las pantallas de bloqueo son de mucha ayuda. Si bien algunos programas de correo electrónico cifran los mensajes de correo electrónico que almacenan en el dispositivo, la mayoría no lo hace. Eso significa que cualquier persona (o cualquier programa) que pueda acceder al almacenamiento interno del dispositivo probablemente también pueda leer el correo electrónico y acceder a archivos adjuntos. ¿Suena exagerado? No tiene que ser una persona; Revisar el correo electrónico es una de las cosas más comunes que hace el malware.
Las redes son un poco más difíciles de entender y cubren tres vínculos básicos:
- Su conexión con su proveedor de correo electrónico (ya sea su ISP, Google, Outlook, Yahoo, Apple u otra persona)
- Cualquier conexión de red entre su proveedor de correo electrónico y su destinatario
- La conexión de red de su destinatario a su proveedor de correo electrónico.
Si envía un correo electrónico a alguien en el mismo servicio que utiliza (por ejemplo, Outlook.com), tiene al menos el primero y el tercera vulnerabilidad potencial de la red: su conexión a Outlook.com y la conexión de su destinatario a Outlook.com. Si el correo electrónico de su destinatario está en otro lugar (por ejemplo, una empresa o escuela), entonces tiene al menos uno más: la conexión entre Outlook.com y el proveedor de correo electrónico de su destinatario. La realidad de la topografía de la red significa que cada una de esas conexiones involucra una serie de enrutadores y conmutadores (quizás una docena o más), probablemente propiedad de diferentes empresas y operados por ellos. Si una conexión es segura, no hay garantía de ninguna otro La conexión en la secuencia es segura. Y si le preocupan cosas como el programa de vigilancia PRISM de la NSA, hasta ahora hay indicios de que parte de ello ocurre en estos puntos provisionales de la red.
El correo electrónico no fue diseñado con cualquier privacidad o seguridad en mente.
Los servidores son las máquinas de su proveedor de correo electrónico o ISP que almacenan físicamente su correo electrónico. Si alguien descifra (o adivina o roba) su contraseña de correo electrónico, probablemente no necesite sus dispositivos; pueden iniciar sesión directamente en su proveedor de correo electrónico y leer cualquier correo electrónico almacenado allí. Pueden ser solo unos pocos mensajes, pero pueden ser semanas, meses o años de correo electrónico, incluidos al menos algunos mensajes que haya eliminado. Pero ese no es el único riesgo. La mayoría de los servicios de correo electrónico almacenan sus mensajes como texto sin formato. Por lo tanto, cualquier atacante que pueda acceder a esos servidores (por ejemplo, a través de una falla de seguridad o robando una contraseña de administrador) puede acceder fácilmente a todos los correos electrónicos y archivos adjuntos almacenados. ¿Por qué los proveedores no protegen el correo electrónico almacenado? En parte debido a la sobrecarga que esto generaría, pero almacenar el correo electrónico sin cifrar permite a las personas buscar sus mensajes (a usted le gusta buscar tu correo electrónico, ¿verdad?) y permite que servicios como Gmail escaneen automáticamente el correo en busca de palabras clave para vender publicidad (y a ti te gusta la publicidad, ¿bien?).
¡Cifrado al rescate!
La mejor manera de proteger las comunicaciones es cifrarlas: básicamente, codificar los datos con complejos transformaciones matemáticas para que solo sea inteligible usando la contraseña correcta u otras credenciales. Una forma común de cifrado es la criptografía de clave pública, en la que las personas (o los ISP o las empresas) entregan una clave pública que cualquiera puede obtener. Se utiliza para codificar datos destinados a ellos, pero solo se puede decodificar utilizando una clave privada que la persona (o el ISP o la empresa) conserva. secreto.
La criptografía de clave pública es la base de dos formas principales de proteger el correo electrónico:
- Cifrar mensajes
- Cifrar conexiones de red
Cifrar mensajes
La idea detrás de los mensajes cifrados es sencilla: en lugar de enviar texto sin formato que cualquiera pueda leer, envías galimatías codificadas que sólo el destinatario previsto puede leer. Las herramientas comunes para cifrar el correo electrónico incluyen PGP (ahora un producto comercial de Symantec) y numerosas aplicaciones y herramientas convencionales que admiten OpenGPG y S/MIME de código abierto.
Cifrar mensajes es una idea sencilla, pero el enfoque tiene ventajas y desventajas. El lado positivo es que los mensajes cifrados están protegidos tanto en redes como en servidores, incluso si están comprometidos o almacenan mensajes como texto sin formato. (¡Sin embargo, el galimatías podría hacer que Gmail muestre algunos anuncios extraños!) El mensaje probablemente también esté cifrado en su dispositivo y en los dispositivos de su destinatario (hasta que lo decodifiquen), lo que ofrece cierta protección adicional. Todo eso está bien.
Ahora las desventajas. Cifrar mensajes individuales es una molestia. Tienes que tener la clave pública de todos desea comunicarse de forma segura. Para una o dos personas, eso no está mal, pero la mayoría tiene docenas (o cientos) de contactos. No será fácil ponerlos a todos en funcionamiento con criptografía de clave pública.
Además, todo aquel que quiera enviar tú ¡El correo electrónico seguro necesita su clave pública! Puedes enviárselo por correo electrónico... pero no estará cifrado, por lo que no es seguro. Lo mismo ocurre con una publicación de blog, una página de Facebook, servicios de servidor de claves o cualquier otro canal inseguro. La única forma realmente segura de intercambiar claves públicas es cara a cara o de alguna otra forma. realmente Asegúrese de obtener la clave correcta de la persona adecuada. Eso puede resultar tremendamente impráctico. Algunas personas que le envían correos electrónicos confidenciales, como bancos, compañías de tarjetas de crédito, hospitales, escuelas o la clínica de fertilidad local: probablemente no usará (o no sabrá cómo) usar su clave pública incluso si la hubieran tenido él. En pocas palabras, no muchos de sus mensajes de correo electrónico estarán cifrados, por lo que cifrar mensajes no es una solución general para un correo electrónico seguro.
¡Pero espera! Hay más desventajas al cifrar mensajes. solo el mensaje contenido (y los archivos adjuntos, si los hay) están revueltos. La información del encabezado (incluida su dirección, la dirección del destinatario, el asunto, la fecha y más) sigue siendo texto sin formato que cualquiera puede leer. Esa información puede ser simplemente metadatos, pero con el tiempo puede ofrecer una imagen sorprendentemente detallada de sus actividades en línea. (Justo pregunta a la NSA!) ¿Quieres otro inconveniente? Intente iniciar sesión en su correo web y buscar en el correo cifrado un número de teléfono o una dirección.
Cifrar conexiones
Los problemas con los mensajes cifrados significan que gran parte de la atención para proteger el correo electrónico se ha centrado en cifrar las conexiones de red. La idea básica es la misma que utilizar un sitio web seguro como el de su banco o Amazon.com. Cuando se conecta a su proveedor de correo electrónico, su software utiliza Transport Layer Security (TLS, aún mejor conocido como SSL) para cifrar la conexión entre su dispositivo y el servicio. Incluso se encarga del intercambio de claves: la mayoría de los dispositivos actuales vienen preinstalados con claves para las autoridades certificadoras, donde pueden descargarlas. claves autenticadas para sitios y servicios sin molestar a los usuarios: sin complicaciones, sin complicaciones, sin volar a Australia para intercambiar claves públicas con alguien. La tecnología básica ha funcionado para el comercio electrónico durante casi dos décadas.
Esa información puede ser simplemente metadatos, pero con el tiempo puede ofrecer una imagen sorprendentemente detallada de sus actividades en línea.
Cifrar la conexión entre usted y su proveedor de correo electrónico significa que nadie en la red intermedia puede ver los mensajes de correo electrónico que usted envía o recibe: todo es una tontería. Eso lo protege de la infiltración en la red Wi-Fi local e incluso de escuchas secretas del gobierno en un centro de datos en algún lugar del camino.
Sin embargo, una vez que el mensaje llegue a su proveedor de correo electrónico, todas las apuestas están cerradas. La mayoría de las veces, su proveedor de correo electrónico almacena los datos del mensaje como texto sin formato (ver arriba), aunque existen excepciones como la de Canadá. correo silencioso. Y si su destinatario tiene otro proveedor de correo electrónico o ISP, su mensaje podría (¡y probablemente lo sea!) transmitirle a través de Internet como un correo electrónico de texto sin formato de la vieja escuela. Un número cada vez mayor de servicios de correo electrónico utilizan TLS para cifrar las conexiones entre ellos, pero el vasto La mayoría de los servidores de correo electrónico del mundo todavía intercambian mensajes sin cifrado y no hay forma de que usted lo sepa. Además, no se sabe si su destinatario utilizará una conexión protegida para recibir o responder su correo electrónico. Es posible que hayas protegido tú mismo de la red Wi-Fi pública, pero ¿lo hizo su médico o su contador? Tal vez no.
¿Está el correo electrónico condenado al fracaso?
El correo electrónico no desaparecerá pronto. Es demasiado útil y su estado casi universal en casi todos los dispositivos y servicios garantiza que el correo electrónico estará con nosotros durante muchos años.
Pero seguro ¿correo electrónico? La conclusión es que el correo electrónico tal como lo conocemos hoy tiene nunca sido seguro, y las innumerables formas en que enviamos, recibimos, almacenamos y utilizamos mensajes de correo electrónico hacen que proteger completamente el correo electrónico sea una tarea muy problema dificil. A lo mejor.
Podemos inventar nuevos servicios de mensajes seguros que podrían reemplazar al correo electrónico. Eso es lo que Circulo silencioso ha hecho con su servicio de comunicaciones cifradas, y podría decirse que eso es lo que BlackBerry hizo con BBM y lo que Apple pudo haber hecho con iMessage. Sin embargo, estos servicios están sujetos a solicitudes de divulgación por parte de los gobiernos, aunque Silent Circle da el interesante paso de poder responder casi sin nada. Más importante aún, es probable que ninguno tenga la amplia ubicuidad y el alcance casi omnipresente del correo electrónico en ningún momento a mediano o incluso a largo plazo. Con suerte, la dificultad no impedirá que la gente lo intente, y Mega de Kim Dotcom ya está disponible. lanzando su sombrero al ring.
Pero, en el futuro previsible, los usuarios de Internet no pueden esperar que el correo electrónico esté a salvo de miradas indiscretas o interceptaciones. Período.
Imagen superior cortesía de Shutterstock/3sueños
