La controversia que generaron los correos de Hillary Clinton ha colocado la confiabilidad de la seguridad de los correos electrónicos en las conversaciones de todos. En este blog no vamos a debatir si ella debió usar un servidor de correo electrónico privado para comunicaciones públicas, pero si me gustaría escribir acerca de uno de los detalles que salió a la luz pública – el punto de que su servidor de correo careció de un Certificado Digital por tres meses en 2009.
En los pocos meses después a que este detalle fuese compartido ha sido un punto controversial por razones de peso. No contar con este estándar de seguridad básica fue algo muy malo; eso no se puede negar. Sin embargo, No puedo evitar preguntarme si toda la atención a los servidores de correo fue necesaria. ¿Pero y que paso con los correos electrónicos? Protegiendo los servidores protege hasta cierto punto, pero ¿Es momento de comenzar a cifrar los correos electrónicos?
¿El Cifrado de los servidores de correo es suficiente?
Dado el alto perfil de la historia de Clinton, la Seguridad de Servidores de Correo con Certificados Digitales ha sido cubierta a profundidad. Para resumir, los certificados en los servidores de correo son importantes porque si no se cuenta con uno:
- No hay manera de identificar que el servidor de correo al que usted se está conectando es el servidor de correo correcto.
- Cualquier correo enviado entre su navegador o el cliente de correos y el servidor no está cifrado y puede ser interceptado.
Sin un certificado, usted es vulnerable a un ataque de man-in-the-middle (MITM), donde cibercriminales pueden interceptar entre usted y su servidor de correos para así interceptar y acceder a sus correos electrónicos. Esto obviamente no sería una buena situación y es claro que el uso de un certificado en su servidor de correo es esencial.
Sin embargo, mientras un Certificado SSL protegerá sus correos electrónicos en tránsito desde y hacia su servidor, esto no hace nada para proteger sus correos mientras estos pasan por otros servidores, los cuales puede que no cuenten con un SSL.
¿Es el Cifrado de Correos electrónicos la solución?
Para comenzar, estoy hablando acerca de cifrado S/MIME (Extensiones de Correo de Internet Multipropósitos/Seguras). Similar al cifrado de servidor discutido anteriormente, S/MIME es basado en Cifrado de clave pública o asimétrica y usa pares de llaves para cifrar y descifrar contenido (a diferencia de criptografía simétrica la cual usa la misma llave para los dos). El par de llaves consiste en una llave pública la cual es compartida y es usada para cifrar y una llave privada, la cual es secreta y es usada para descifrar.
¿Cómo el Cifrado S/MIME protege sus correos?
La tecnología criptográfica de S/MIME quiere decir que solo el destinatario de su correo electrónico puede leerlo. ¿Cómo? Bueno, esto está relacionado a las llaves pares – su llave publica es usada para cifrar el correo y solo la llave privada correspondiente puede descifrarlo. Esto quiere decir, asumiendo que la llave privada no haya sido comprometida, usted es el único que puede descifrarlo y leer el correo.
Regresemos al escenario de que un hacker ataque a su empresa, los hackers no podrían leer los correos ni siquiera si ellos tuviesen acceso a sus sistemas de correos corporativos, ya que ellos no tienen su llave privada para descifrarlos. O si usted no cuenta con un certificado en su servidor de correos, recuerde que recomendamos fuertemente que usted cuente con uno y que sus correos fuesen interceptados en tránsito, ellos seguirían estando seguros. Lo mismo aplica para cualquier otro servidor no protegido por el cual ellos pasen – porque usted está cifrando los correos electrónicos, ellos seguirán protegidos de cibercriminales.
Pero hay más – Autenticación e Integridad de los datos
En adición al cifrado, S/MIME le permite a usted agregar firmas digitales a sus correos. Esto quiere decir que no solamente usted puede proteger sus correos de que caigan en las manos equivocadas, pero también:
- Verificar que su correo electrónico proviene de usted (Por ejemplo que no es un correo Phishing) – La firma digital es aplicada con su llave privada y verificada con la llave publica, las cuales son únicas a usted. Su información de identificación es incluida en la firma, la cual la mayoría de clientes se correo muestran de forma visible.
Ejemplo de firma digital in Microsoft Outlook
- Previene cambios a su correo electrónico después de que este fue enviado – cuando una firma digital es verificada (en este caso, cuando un destinatario abre su correo), un proceso toma lugar el cual usted no ve, este compara los contenidos del correo al momento en el cual la firma fue aplicada. Si el contenido no es el mismo, un error será mostrado para así alertar al destinatario que algo está mal y que no confié en el contenido del correo.
¿Entonces esto donde nos deja entre el debate entre cifrado de servidor vs. Cifrado de correo? Yo creo que la gran mayoría estará de acuerdo que un SSL en su servidor de correo es necesario y es una buena práctica – ya que evita que usted este vulnerable a un ataque MITM – pero si usted está preocupado acerca de que sus correos sean interceptados, tanto en el servidor como en el internet, usted deberá considerar cifrarlos. Por lo cual los dos mecanismos son la solución ideal para proteger sus correos electrónicos.
Webinar on Demand: Seguridad Digital Firma y Cifrado de Correos Electrónicos
