20 mar 2017

¿Qué es S/MIME y cómo funciona?

Por extraño que parezca, S/MIME no es una nueva corriente de performance callejera, sino un acrónimo que hace referencia a "extensiones seguras /multipropósito de correo en Internet ("Secure/Multipurpose Internet Mail Extensions", por sus siglas originales en inglés), una tecnología que le permite cifrar sus correos electrónicos. S/MIME está basado en los principios de la criptografía asimétrica y su finalidad es proteger sus correos electrónicos frente a accesos no deseados. Además, esta tecnología le permite firmar digitalmente sus correos electrónicos para autenticarse como el remitente legítimo de sus mensajes, lo cual la convierte en una eficaz arma contra los numerosos ataques de phishing que se producen cada día en Internet.Estos son, en esencia, los fundamentos de la tecnología S/MIME.

Ya hemos cifrado nuestro servidor de correo electrónico. ¿No es suficiente?

Ni que decir tiene que cifrar sus servidores de correo electrónico con certificados digitales es una medida muy acertada, puesto que al hacerlo evitará que posibles intrusos se cuelen entre sus correos electrónicos y sus servidores de correo e intercepten datos confidenciales. Sin embargo, su radio de acción es limitado, ya que los certificados digitales que cifran el servidor no necesariamente protegen los propios correos electrónicos que se envían y reciben a través del mismo. Aunque esencialmente sus correos electrónicos estarán protegidos en su tránsito saliente y entrante desde el servidor cifrado, los hackers seguirán pudiendo acceder a su sistema de correo electrónico y abrir sus mensajes desde él o acceder a ellos cuando pasen por otros servidores. Por tanto, podemos decir que aunque sus correos electrónicos estarán correctamente protegidos mientras viajan hacia/desde su servidor, continuarán estando expuestos cuando se almacenen o encuentren en tránsito por otros servidores.

Esta afirmación se hizo especialmente evidente en un ataque reciente mediante el cual se sustrajeron casi 20.000 correos electrónicos al Comité Nacional del Partido Demócrata (DNC) en plena campaña de las elecciones estadounidenses de 2016. Para llegar hasta los correos, el hacker se abrió paso a través del buzón de correo entrante sin cifrar del DNC. Los correos electrónicos sustraídos, que revelaron el supuesto sesgo del DNC hacia el Senador Bernie Sanders, se publicaron en WikiLeaks, y algunos expertos afirman que el ataque informático del que procedieron marcó el comienzo de la derrota de Hillary Clinton en los comicios presidenciales. Cifrar cada uno de los correos electrónicos del DNC usando, por ejemplo, la tecnología S/MIME habría garantizado la inaccesibilidad de sus contenidos.

Hasta aquí todo claro. ¿Pero cómo cifrará S/MIME mis correos electrónicos?

S/MIME está basado en los principios de la criptografía asimétrica, que utiliza un par de claves matemáticamente relacionadas –una pública y otra privada– para funcionar. Desde un punto de vista computacional, es inviable adivinar la clave privada a partir de la clave pública: los correos electrónicos se cifran con la clave pública del destinatario y, posteriormente, estos solo pueden descifrarse con la clave privada correspondiente, que se supone que solo posee dicho destinatario. Por tanto, a menos que la clave privada caiga en las manos equivocadas, puede tener la certeza de que solo el destinatario al que envió el mensaje podrá acceder a los datos confidenciales transmitidos.

Si aun así no le convencen del todo las ventajas de cifrar sus correos electrónicos, piense que Edward Snowden el denunciante que sacó a la luz las operaciones secretas de la Agencia Nacional de Seguridad de los Estados Unidos (NSA), confía en el cifrado de correos electrónicos como medida de seguridad. A lo largo de los años, varias empresas de primer nivel también han tomado conciencia de la importancia de cifrar los correos electrónicos. Google, por ejemplo, ya cifra los mensajes que se envían a Gmail, y tanto Facebook como AOL han seguido sus pasos implantando medidas similares. Incluso Microsoft, compañía que aloja un gran número de servicios de correo, ya ha protegido sus cuentas mediante sistemas de cifrado de correo electrónico. Ahora, su empresa puede sumarse a esta práctica de seguridad adoptando S/MIME, que además de cifras sus correos electrónicos le dará la posibilidad de firmarlos.

¿He leído "firmar sus correos electrónicos"? Pero si eso es imposible, ¿no?

Ha leído bien. S/MIME le permite firmar sus correos electrónicos para acreditar la identidad legítima de su empresa. ¡Y lo mejor de todo es que no necesitará ningún bolígrafo para hacerlo! Cada vez que cree y firme un correo electrónico, su clave privada aplicará su firma electrónica única a su mensaje. De este modo, cuando su destinatario abra su correo electrónico, su clave pública se utilizará para verificar la firma y garantizará a este que el mensaje procede realmente de usted. La firma de correos electrónicos permite autenticar su identidad en una coyuntura en la que los ataques de phishing ya han alcanzado sofisticación y en la que es cada vez más difícil identificar los mensajes fraudulentos.

Además, firmar sus correos electrónicos no solo le resultará útil para sus operaciones externas con clientes, sino que es también una práctica muy recomendable para los correos electrónicos enviados entre sus empleados. Sin embargo, la aplicación de esta medida no debe considerarse un signo de desconfianza hacia sus colaboradores, sino simplemente un método para protegerlos frente a las agresivas técnicas de phishing que hoy llegan hasta el punto de suplantar la identidad de compañeros de trabajo en correos electrónicos. Imagínese que recibe un correo electrónico de un compañero de trabajo de nivel básico en el que trata de chantajearle con el fin de que le facilite información confidencial. Como es natural, el mensaje le dejaría en estado de shock, pero una vez que volviese a comprobarlo para ver que de hecho no había sido firmado por su compañero, sentiría un alivio inmediato al saber que solo se trataba de un patético intento de un hacker de acceder a su cuenta.

¡Suena bien! Entonces, ¿necesitaría nuestra empresa S/MIME?

Teniendo en cuenta las ventajas que S/MIME proporciona a su empresa a largo plazo, le recomendamos encarecidamente su adopción. Si su objetivo es asegurar la integridad, garantizar la confidencialidad, proteger sus datos confidenciales y mitigar los ataques de phishing y otras formas de intrusión en correos electrónicos, debe considerar la implantación de esta tecnología sin lugar a dudas. Además, no debe temer que le resulte compleja. Con el paso de los años, la implantación de S/MIME ha ido simplificándose progresivamente, y de hecho los teléfonos Windows son un buen ejemplo de dispositivo que ya integra esta tecnología de serie. S/MIME ya está a su disposición para garantizar la seguridad de sus correos electrónicos. Ahora, le decisión es enteramente suya.

¿Tiene alguna otra pregunta sobre S/MIME? Envíenosla a través del recuadro de comentarios siguiente. También puede hacer clic aquí para obtener más información sobre los fundamentos básicos de S/MIME.