Se calcula en el mundo existen unos 2,2 mil millones de usuario de correo electrónico y que cada día se envían 144 mil millones de emails. Sin duda, es una de las formas de comunicación de nuestro tiempo y la utilizamos tanto en los ratos de ocio como de trabajo. Definitivamente, nuestra cuenta de correo electrónico es uno de los activos digitales que más debemos proteger.
Como se recuerda habitualmente en este blog, la seguridad total no existe pero siempre conviene ponérselo difícil a quienes intenten conseguir nuestras credenciales, hacer que caigamos en una trampa de phishing o acceder a la información que guardamos en nuestro correo.
Nuestros consejos para hoy son los siguientes: utiliza la verificación en dos pasos, plantéate el uso de la llave de Google y cifra tus mensajes. Os hablaremos también del servicio ProtonMail.
Verificación en dos pasos
También conocida como 2FA por sus siglas en inglés (Two Factor Authentification). Los usuarios que tienen activada la verificación en dos pasos tienen que introducir dos claves para acceder al servicio. La primera es la contraseña propiamente dicha y la segunda es una clave temporal que el usuario recibe habitualmente a través de su teléfono móvil, de aplicaciones móviles o de la llave de Google, de la que hablaremos más adelante.
Servicios tan más populares como Google, Apple, Outlook, Amazon, WhatsApp, Telegram, Yahoo Mail, Spotify, Xbox Live, Norton, Facebook, Twitter, Linkedin permiten la verificación en dos pasos. No obstante, la lista completa incluye muchos otros y puede consultarse aquí.
La llave de Google
La llave de Google es un dispositivo que se conecta al ordenador mediante el puerto USB y a dispositivos móviles mediante bluetooth y permite ejecutar el segundo proceso de verificación. Es decir, el programa en vez de pedir al usuario que introduzca un código o similar pide que conecte la llave de Google. La principal desventaja es que, en ordenadores, solo funciona con el navegador Google Chrome.
Cifra tu correo con una clave asimétrica
El cifrado consiste en transformar un mensaje en un conjunto de letras, números y caracteres que indescifrable empleando unos protocolos que aseguren que solo el receptor legítimo de esa comunicación pueda descifrarlo.
Para llevar a cabo este proceso se puede utilizar bien una clave, la misma para el cifrado y el descifrado de la información o dos claves, utilizando una en cada extremo. En el primer caso estaríamos ante cifrado simétricos y en el segundo ante cifrado asimétricos.
La criptografía asimétrica es un método de cifrado de la información que en la que cada usuario tiene asignadas dos claves: una clave pública, que el usuario debe dar a cualquier persona con la que se quiera comunicar, y una clave privada, que no debe conocer nadie nada más que él.
En el caso de las comunicaciones por correo electrónico, este sistema permite dos funcionalidades principales: asegurar que solo el destinatario del mensaje pueda leerlo y verificar la identidad del remitente.
Para explicar dichas funcionalidades, vamos a pensar en una empresa en la que Celia, del Departamento Financiero, quiere enviar un correo electrónico con información sensible a su compañero Manuel, del Departamento de Recursos Humanos.
- Celia quiere asegurarse de que ese mensaje sólo será leído por Manuel:
Al enviar el mensaje, Celia deberá escribir la clave pública de Manuel quien, al recibirlo solo podrá leerlo si introduce su clave privada.
- Celia quiere asegurarse de que cuando Manuel reciba el mensaje, éste tenga la certeza de que ha sido Celia quien ha escrito el mensaje y que nadie le ha suplantado la identidad:
Al enviar el mensaje, Celia escribirá su clave privada y cuando Manuel lo reciba solo lo podrá leer si introduce la clave pública de Celia.
En uno u otro caso, la comunicación entre ambos estaría segura ya que si aunque un tercer usuario interceptase el email no podría leer el contenido del mismo. Solo vería un archivo repleto de números, letras y caracteres especiales sin sentido alguno.
¿Cómo implementar el cifrado de clave asimétrica en tu correo?
Existen varias alternativas para poder enviar correos mediante el sistema de clave asimétrica.
Thunderbird es un cliente de correo electrónico multiplataforma diseñado por la Fundación Mozilla. Tiene soporte nativo para el estándar de cifrado S/MIME, no obstante si se desea emplear el estándar OpenPGP habrá que instalar la extensión Enigmail.
Por otro lado, si utilizas un servidor de correo electrónico Gmail, Outlook.com o Yahoo, la forma de cifrar tus comunicaciones es instalando un extensión para el navegador. La aplicación Mailvelope está disponible tanto para Google Chrome como Firefox, aunque existen otras específicamente funcionadas para funcionar en la plataforma de correo y el navegador de Google: Secure Mail for Gmail, SafeGmail.
Por último, hay que tener en cuenta que Outlook 2013 y Office 365 permiten cifrar el correo sin necesidad de instalar ninguna aplicación adicional.
ProtonMail
El ProtonMail está considerado como uno de los servicios de correo electrónico más seguro y comprometido con privacidad del usuario ya que los mensajes van cifrados de extremo a extremo (y se almacenan cifrados en los servidores de ProtonMail).
¿Cómo funciona?
Los usuarios de ProtonMail manejan dos contraseñas; una para iniciar sesión en el sistema y otra que permite descifrar y acceder al buzón de correo. Este servicio también emplea un cifrado asimétrico de clave pública; cuando un usuario de ProtonMail envía un email u otro usuario del mismo servicio el mensaje se cifra con la clave pública del destinario y cuando éste lo recibe, su contraseña del buzón descifra su clave privada, pudiendo entonces leer el contenido del mensaje. El siguiente vídeo muestra gráficamente este proceso:
Si un usuario le envía a otro el mensaje “Hello”, este se encripta antes de enviarse y de este modo se envía y almacena en los servidores de ProtonMail y lo recibe el destinatario, una diferencia sustancial con respecto a la mayoría de servicios de correo electrónico.
Además, al igual que Snapchat, ofrece al usuario la posibilidad de que el mensaje desaparezca transcurrido un periodo de tiempo.
ProtonMail: historia y curiosidades
ProtonMail fue desarrollado a raíz del escándalo de la vigilancia masiva de las agencias de seguridad estadounidense, caso desvelado por Edward Snowden. Además, tanto la empresa propietaria como los servidores del servicio están en Suiza, fuera de la jurisprudencia tanto de la Unión Europea como de los Estados Unidos, con lo que la Justicia suiza sería la única que podría emitir una orden para solicitar los datos contenidos en este servidor. No obstante, como los mensajes se guardan encriptados, el sujeto al que en un hipotético caso se le entregaran los mensajes solo podría leer el contenido si además consiguiera la clave para descifrarlos.
La creación de este servicio fue posible fue posible gracias a una campaña de crowdfunding y actualmente se financia con aportaciones voluntarias, la venta de merchandising de la marca y las cuotas que pagan los usuarios por usar el servicio. Y es que, aunque ProtonMail es gratuito en su versión básica, existe la posibilidad de contratar diversos planes de pago en los que el usuario tiene acceso a una serie de mayores y mejores prestaciones como por ejemplo más espacio de almacenamiento o la posibilidad de usar un dominio propio (por ejemplo: @audea.com).
Laura J. Vindel
Departamento de Marketing y Comunicación