Usamos el correo electrónico todos los días sin pensar mucho en lo seguro que es. Aquí están las malas noticias: la mayoría de los sistemas de correo electrónico son terribles cuando se trata de ocultar información confidencial. Y aquí están las buenas noticias: es posible hacer que su correo electrónico sea mucho más seguro cifrándolo.
¿Cómo se hace eso?
Bueno, la forma más fácil de cifrar el correo electrónico, y el método que se ha convertido en estándar, es TLS, que significa «Seguridad de la capa de transporte» es un protocolo criptográfico que cifra los datos enviados a través de Internet. Esto garantiza que los hackers o las agencias de vigilancia no puedan leer los datos que intercambia con la web, ya sea que estos datos estén en un correo electrónico o de cualquier otra forma.
En este articulo, veremos el cifrado del correo electrónico, los diversos métodos que se han utilizado para este tema y luego el método que usamos en Zoho Mail: TLS.
Cifrado de correo electrónico
Comencemos con una definición básica: ¿qué es el cifrado de correo electrónico?
El cifrado es un método para codificar información para que los hackers (o cualquier otra persona) no puedan leerla. Es importante cuando usted envía información confidencial como sus datos bancarios, credenciales de inicio de sesión y números de seguridad social. Pero también es importante incluso cuando sus correos electrónicos no contienen datos evidentemente confidenciales: si los hackers puede leer sus correos electrónicos, puede comenzar a construir un perfil sobre usted que puede usarse para futuros ataques.
El correo electrónico es un medio particularmente vulnerable para los ataques, especialmente cuando envía correos electrónicos a través de redes WiFi públicas. Esto se debe a que los correos electrónicos se pueden interceptar en tres puntos principales: cuando los envía, cuando los entrega su proveedor de correo electrónico y cuando se almacenan en un servidor.
Un certificado de correo electrónico personal es un método para cifrar correos electrónicos. Este proceso firma digitalmente sus mensajes, lo que le permite al destinatario verificar que el correo electrónico realmente vino de usted. Los correos electrónicos que se envían desde una cuenta falsificada no tendrán la firma correcta, por lo que es fácil detectarlos.
Casi todos los métodos prácticos de encriptación de correo electrónico se basan en el sistema de Infraestructura de Clave Pública (PKI). En la mayoría de los tipos de cifrado, los que envían correos electrónicos utilizarán una clave pública para codificar sus mensajes, y estos pueden ser descifrados utilizando la clave privada del destinatario. En el modelo PKI, cualquiera puede usar una clave pública para cifrar el correo electrónico, pero cada mensaje cifrado solo puede ser descifrado por una clave privada única.
La mejor práctica para la mayoría de los usuarios es cifrar todos sus correos electrónicos como algo natural. Si encripta sólo los mensajes de correo electrónico que contienen información confidencial, esto eleva una bandera a los hackers. Puede resaltar los mensajes que tienen más probabilidades de contener información valiosa y confidencial, la misma información a la que está tratando de evitar que personas externas accedan en primer lugar.
En cambio, es mejor cifrar todo. Descifrar miles de mensajes de correo electrónico uno por uno con la esperanza de que uno de ellos contenga información confidencial es una tarea desalentadora y tediosa, e incluso los hackers más dedicados pueden sentir que no vale la pena el esfuerzo.
Cuando se trata de implementar este cifrado, los usuarios tienen una variedad de opciones. Pero uno se ha convertido en la forma estándar de cifrar correos electrónicos: TLS. Así que echemos un vistazo a cómo funciona ese sistema.
¿Cómo funciona TLS?
TLS es más familiar para los usuarios por su capacidad para garantizar una navegación segura, indicada por el icono del candado en la barra de direcciones de un navegador para aquellos sitios que usan el sistema. La implementación de TLS en sitios web ahora es una práctica estándar y tiene muchos beneficios más allá de la seguridad mejorada, como aumentar el tráfico de motores de búsqueda y evitar el secuestro de sesiones. Por eso, en Zoho, usamos TLS para garantizar la seguridad de la cuenta
Sin embargo, las aplicaciones de TLS no se detienen allí. El sistema también puede (y de hecho debería) usarse para otras aplicaciones web, como proteger sus correos electrónicos , transferencias de archivos, video / audio conferencia, mensajería instantánea y voz sobre IP, así como servicios de Internet como DNS y NTP.
TLS utiliza una combinación de criptografía simétrica y asimétrica. Este es un enfoque de compromiso que aprovecha los beneficios de ambos tipos de criptografía.
La criptografía simétrica es muy eficiente en términos de recursos computacionales, pero tener una clave secreta común significa que debe compartirse de forma segura. La gran ventaja de la criptografía asimétrica es que el proceso de compartir claves de cifrado no tiene que ser seguro. Sin embargo, la relación matemática entre claves públicas y privadas significa que se requieren tamaños de clave mucho más grandes, y se necesita hacer mucho más cálculo.
Por esta razón, TLS utiliza criptografía asimétrica para crear y compartir una clave de sesión. Esta clave se usa para cifrar los datos transmitidos por el remitente y para descifrar los datos recibidos por el destinatario. Una vez que finaliza la sesión, la clave se desecha y nunca más se usa.
La historia de TLS
El protocolo TLS actual se remonta a la implementación original de SSL (Capa de Conexión Segura), que fue desarrollado por Netscape en 1994. TLS se especificó por primera vez en RFC 2246 cinco años después.
A mediados de la década de 1990, casi todo el tráfico de Internet no estaba encriptado. Cuando se usó el cifrado, generalmente se solicitó con poca frecuencia para ocultar datos confidenciales, como detalles de tarjetas de crédito o contraseñas. Desde entonces, las capacidades de los hackers (y los gobiernos) para acceder a información privada han aumentado de manera alarmante. Esto hizo que toda la información enviada a través de Internet se encriptara, y no solo los datos vistos como confidenciales.
El IAB, por lo tanto, emitió una declaración en noviembre de 2014 en la que pedía a los diseñadores, desarrolladores y operadores de protocolos que hicieran del cifrado la norma para el tráfico de Internet, esencialmente haciéndolo confidencial por defecto. Esta fue una manifestación temprana del cambio de DevOps a DevSecOps, en el que la seguridad está integrada en las aplicaciones web en la etapa de diseño. También reconoció la creciente importancia del modelo de negocio de Software como servicio (SaaS), en el que se comparten datos mucho más sensibles comercialmente en la web que con los modelos de software tradicionales.
Desde 2014, todos los principales navegadores web han admitido TLS , y muchos advierten a los usuarios cuando intenten visitar una página web que no utiliza el protocolo. Sin embargo, el uso de TLS en otras aplicaciones, como correo electrónico o VOIP, se ha quedado atrás. Como tal, no siempre es evidente para los usuarios cuando sus datos están encriptados y cuando no lo están.
¿Por qué es importante TLS?
A pesar de la asimilación desigual de TLS en contextos fuera de las páginas web, sin embargo, es una consideración de seguridad muy importante para los desarrolladores de aplicaciones web. Se recomienda que todos los usuarios usen TLS para cifrar su correo electrónico.
Es por eso que se integró TLS en Zoho Mail y facilitamos el cifrado de sus correos electrónicos utilizando TLS. Sin embargo, el correo electrónico es sólo una aplicación de cifrado. También debe asegurarse de que todos los demás datos que intercambia en línea estén encriptados utilizando un servicio VPN confiable y utilizar aplicaciones de mensajería encriptadas de extremo a extremo siempre que sea posible.
En última instancia, usar el cifrado, ya sea para correos electrónicos o cualquier otra cosa, es una forma de reducir la cantidad de datos que se pueden recopilar sobre usted y, por lo tanto, reducir su exposición a un ataque cibernético. Si nadie puede leer la información que envía en sus correos electrónicos, nadie puede usarla para causarle daño.
El futuro
A pesar de la adopción aún limitada de TLS fuera de las aplicaciones web, está a punto de volverse más importante que nunca. Esto se debe a las importantes preocupaciones de seguridad sobre el Internet de las cosas (IoT), que sigue siendo altamente inseguro en comparación con las tecnologías de conectividad más establecidas. En este contexto, TLS se ha identificado como una forma de mejorar la seguridad de IoT. El único inconveniente es que, al igual que con los teléfonos inteligentes, esto requerirá que todos los dispositivos IoT tengan la potencia de procesamiento necesaria para manejar los algoritmos de cifrado TLS.
Por ahora, sin embargo, TLS sigue siendo una piedra angular del cifrado de correo electrónico, y no es probable que se reemplace pronto. Es un componente importante de la forma en que Zoho cuida sus datos, pero también debe ser parte de las medidas de seguridad utilizadas por todos los que toman en serio su seguridad en línea.
