RIESGOS QUE SUPONE ENVIAR EMAILS SIN CIFRAR NI FIRMAR

LOS RIESGOS DE ENVIAR EMAILS SIN SEGURIDAD


En este artículo vamos a analizar, de forma muy escueta y sencilla, los riesgos que supone enviar emails sin unos mínimos requisitos de seguridad, a continuación hablaremos de cómo reducir dichos riesgos y en otro artículo veremos un caso práctico con las instrucciones a seguir para configurar correctamente un gestor de correo electrónico con un sistema de firma y cifrado de mensajes.

¿Por qué?

Puede que, como a mí, te preocupe que tus conversaciones en aplicaciones de mensajería instantánea como Whatsapp, Telegram o Signal, entre otras, puedan ser interceptadas por personas ajenas a las mismas. Sin embargo, hay un soporte que llevamos años utilizando sin que seamos conscientes del riesgo que supone el envío de información sensible, que suele ser mucho mayor en este que a través de las aplicaciones de mensajería instantánea. Estamos hablando del correo electrónico o email.

Los datos

La información que enviamos a través de los correos electrónicos suele ser más sensible que la facilitada en redes sociales o a través de aplicaciones de mensajería instantánea y, a nivel profesional, viaja una cantidad ingente de nombres de clientes, empleados, DNIs, direcciones, teléfonos, cuentas bancarias, etcétera, sin que seamos conscientes de los riesgos que conlleva enviar esta información sin la apropiada protección.

Un ejemplo

Podríamos hacer una similitud bastante acertada imaginando que son correos ordinarios. Una carta enviada por correo ordinario puede ser interceptada y leída, de modo que el interceptor pueda disponer de toda clase de datos.

Aunque esto es posible, en la práctica es mucho menos probable que en los emails. ¿Por qué?, pues porque el trabajo que llevaría interceptar un número suficiente de cartas sería muchísimo, además de que el destinatario podría averiguar con relativa facilidad que su carta ha sido abierta por el camino al ver que ha sido manipulada de algún modo.

Sin embargo

La cantidad de datos que se pueden interceptar por medio de emails es inmensa, sin tener que desplazarse, sin apenas esfuerzo físico y sin que ni el destinatario ni el remitente sepan siquiera que han sido interceptados hasta que es demasiado tarde.

Pues bien, en el primero de los casos, podríamos pensar en establecer un método de cifrado que solo el remitente y el destinatario pudieran conocer, de manera que si alguien interceptase el mensaje, el riesgo de que el atacante pudiera averiguar el significado del contenido sería mínimo.

aviso email sin cifrar

Ahora puede que te parezca que el riesgo de ser víctima de robo de datos en tu caso es prácticamente imposible porque, ¿quién estaría interesado en nuestros datos si apenas somos un grano de arena más en la playa?. Pero no te confíes tanto porque cada vez son más los casos de delitos de este tipo y si, además, trabajas para una empresa o cualquier otra organización o negocio que maneja datos de clientes, asociados y empleados, será mucho más probable que seas víctima de este tipo de robos. Solo hay que pararse a pensar por un instante cuánta información hay en las facturas que enviamos a nuestra gestora por email.

Aunque los servicios de email existentes, como Gmail y Hotmail, son bastante seguros para muchos casos habituales, no son todo lo que pudieran ser cuando de información importante se trata, y no está de más ir un paso más allá.

noticia robo identidad España

¿Y ahora qué?

Así pues, tal y como pensamos con las cartas, también aquí podemos aplicar un cifrado de los mensajes. Para ello, la opción más recomendable es el cifrado PGP y debería usarse para el envío de cualquier tipo de información sensible.

¿Y qué es eso del PGP?

PGP (Pretty Good Privacy) es un método de criptografía desarrollado por Phil Zimmermann en 1991.

A partir de PGP derivó OpenPGP, un estándar de cifrado de emails de código abierto, lo que significa que, si no lo sabías ya, puede ser estudiado por cualquiera que disponga de los conocimientos suficientes para ello, pudiendo descubrir si tiene algún fallo o no cumple con lo que dice (esas son algunas de las grandes ventajas del código abierto).

GnuPG

Pero ahí no quedó la cosa, más tarde se desarrollaría GnuPG, un estándar implementado a partir de OpenPGP.

En definitiva, el cifrado PGP es una herramienta que nos permite cifrar y firmar archivos y correos electrónicos.

Si eres tú enséñame la patita

candado

Ahora bien, veamos en qué consiste el cifrado PGP y porqué usarlo.

Este protocolo se sirve de las llamadas firmas pública y privada. Aquí no vamos a entrar en qué son exactamente esas firmas, lo único que debes saber es que son un par de archivos que podemos definir como unas llaves.

La firma privada es la que guardamos en nuestro equipo (remitente) y la pública es la que podemos compartir con nuestros contactos (destinatarios), que requerirán de esta para descifrar los mensajes que les enviemos firmados con la firma privada. De este modo nos aseguramos que los mensajes que recibimos no han sido remitidos por alguien que ha suplantado a la persona que nos interesa.

Pero, ¿cómo utilizamos PGP?

Puedes aplicar el cifrado PGP en tu gestor de correos electrónicos como Thunderbird o Outlook, por poner los dos más conocidos y de uso más extendido. Personalmente me gusta más Thunderbird porque es un gestor robusto y confiable por los años que lleva desarrollándose, porque también es de código abierto y porque estoy más familiarizado con él. Además, Thunderbird está especialmente preparado para generar e instalar, con relativa facilidad, el cifrado PGP en las cuentas que tengas instaladas en el mismo, ya que lo trae de manera nativa desde la versión 78.3.3.

¿De verdad es tan relevante?

Para ser conscientes de la importancia del cifrado PGP no tienes más que saber que muchos periodistas, hackers (los buenos, por no confundir con los crackers, que también lo usan) y personalidades tan conocidas como Edward Snowden, requieren del uso de este sistema para sus mensajes. Por algo será, ¿no crees?. Actualmente es el sistema de cifrado más utilizado del mundo.

Vamos terminando

En este humilde artículo no he querido profundizar mucho más en otros aspectos de seguridad, teniendo en cuenta que en absoluto soy un experto, pero sí he podido compartir los requisitos mínimos para navegar más seguro que, a modo de resumen podemos decir que son los siguientes:

  • Disponer de un sistema operativo con soporte vigente. Ya sea Windows, GNU-Linux o Mac, es importantísimo que sea una plataforma que siga recibiendo actualizaciones del fabricante.

sistemas operativos

  • Usar siempre contraseñas seguras. De esto ya hablaré en otro artículo porque tiene más importancia de la que realmente le damos y es más sencillo de lo que crees tener miles de contraseñas sin tener que memorizarlas.

contraseñas seguras

  • Disponer de un cortafuegos (firewall). Ya sea por software o hardware, es una herramienta de protección muy recomendable para tener controlados los accesos hacia y desde nuestro equipo.

  • Usar una VPN (red privada virtual) confiable. Las más recomendadas son de pago, y tampoco tienen un coste inasumible, incluso para un particular.

  • Tener un buen antivirus con licencia legal. Lo he dejado para el final porque si tienes Windows 10 ya dispones de uno, y si tienes Windows 8 o quieres alguno con más opciones, como un cortafuegos, gestor de contraseñas, VPN, etc., dispones de Panda, Kaspersky o Mcafee, por decir algunos de los más conocidos, ya pueden ofrecerte las herramientas vistas anteriormente.

  • Y por último, pero no menos importante, . Sí, tú. Tú eres quien puede hacer que todos los medios anteriores no sirvan de nada o sean realmente efectivos, porque debes recordar que no hay método, programa ni sistema infalible, solo reducen el riesgo y quienes más fallamos a la hora de proteger nuestros equipos somos nosotros mismos, instalando sistemas operativos o antivirus sin licencia, aplicando contraseñas débiles, clicando los links de mensajes que recibimos sin más, etc.

Así que, determina lo que debes proteger, cómo conseguirlo y haz que sea efectivo :)