Cifrar correos electrónicos usando TLS

1942
Cifrar correos electrónicos usando TLS
WOZTELL Golden Partner : WhatsApp + zOHO

Cifrar correos electrónicos usando TLS adquiere cada vez más importancia. Usamos el correo electrónico todos los días sin pensar mucho en lo seguro que es. Aquí están las malas noticias: la mayoría de los sistemas de correo electrónico son terribles cuando se trata de ocultar información sensible. Y aquí están las buenas noticias: es posible hacer que tu correo electrónico sea mucho más seguro encriptándolo.

¿Cómo se hace para cifrar correos electrónicos usando TLS?

La forma más fácil de encriptar el correo electrónico, y el método que se ha convertido en estándar, es el TLS. Esta sigla significa «Transport Layer Security». La «Seguridad de la Capa de Transporte» (TLS) es un protocolo criptográfico que encripta los datos enviados por Internet. Esto asegura que los datos que intercambias con la web no puedan ser leídos por hackers o agencias de vigilancia, ya sea que estos datos estén en un correo electrónico o en cualquier otra forma.

Vamos a ver la encriptación del correo electrónico, los diversos métodos que se han utilizado para ello, y el método que se utiliza en ZOHO Mail: TLS.

¿Qué es la encriptación del correo electrónico?

La encriptación es un método para codificar la información de manera que no pueda ser leída por los hackers (o cualquier otra persona). Es importante cuando se envía información sensible como tus datos bancarios, credenciales de acceso y números de seguridad social. Pero también es importante cuando tus emails no tienen datos sensibles. Si un hacker puede leer tus correos electrónicos, puede empezar a construir un perfil sobre ti que puede ser usado para futuros ataques.

El correo electrónico es un medio especialmente vulnerable a los ataques. Sobre todo cuando se envían correos electrónicos a través de redes WiFi públicas. Esto se debe a que los correos electrónicos pueden ser interceptados en tres puntos principales. Cuando los envías, cuando tu proveedor de correo electrónico los entrega y cuando se almacenan en un servidor.

Un certificado de correo electrónico personal es un método para encriptar los correos electrónicos.

Este proceso firma digitalmente tus mensajes, lo que permite a un destinatario comprobar que el correo electrónico proviene realmente de ti. Los correos electrónicos que se envían desde una cuenta falsa no tendrán la firma correcta, lo que facilita su detección.

Casi todos los métodos prácticos de cifrado de correo electrónico se basan en el sistema de Infraestructura de Clave Pública (PKI). En la mayoría de los tipos de cifrado, los que envían los correos electrónicos harán uso de una clave pública para codificar sus mensajes. Éstos pueden ser descifrados usando la clave privada del destinatario. En el modelo PKI, cualquiera puede utilizar una clave pública para cifrar el correo electrónico. Pero cada mensaje cifrado sólo puede descifrarse con una clave privada única.

La mejor práctica para la mayoría de los usuarios es encriptar todos sus correos electrónicos como algo natural. Si sólo se encriptan los mensajes de correo electrónico que contienen información sensible, esto pone en evidencia a los hackers. Puedes destacar los mensajes que tienen más probabilidades de contener información valiosa y sensible. La misma información a la que intentas evitar que los extraños tengan acceso en primer lugar.

En lugar de eso, lo mejor es encriptar todo. Descifrar miles de mensajes de correo electrónico uno por uno con la esperanza de que uno de ellos contenga información sensible es una tarea desalentadora y tediosa. Incluso los hackers más dedicados pueden sentir que no vale la pena el esfuerzo.

Cuando se trata de implementar esta encriptación, los usuarios tienen una variedad de opciones. Pero una se ha convertido en la forma estándar de encriptar correos electrónicos: TLS. Así que echemos un vistazo a cómo funciona ese sistema.

Cómo funciona el TLS

El TLS es más conocido por los usuarios por su capacidad de garantizar una navegación segura. Esta es indicada por el icono del candado en la barra de direcciones de un navegador para aquellos sitios que utilizan el sistema.

La implementación de TLS en los sitios web es ahora una práctica estándar. Tiene muchos beneficios más allá de la mejora de la seguridad. Por ejemplo, el aumento del tráfico de los motores de búsqueda y la prevención del secuestro de sesiones. Por eso, en ZOHO, utilizamos TLS para garantizar la seguridad de las cuentas.

Sin embargo, las aplicaciones de TLS no se detienen ahí. El sistema puede (y de hecho debería) utilizarse también para otras aplicaciones web. Por ejemplo, la protección de los correos electrónicos, las transferencias de archivos, las videoconferencias, la mensajería instantánea y la voz sobre IP. También lo que tiene que ver con los servicios de Internet como el DNS y el NTP.

El TLS utiliza una combinación de criptografía simétrica y asimétrica. Se trata de un enfoque de compromiso que aprovecha las ventajas de ambos tipos de criptografía.

La criptografía simétrica es muy eficiente en términos de recursos computacionales. Pero el hecho de tener una clave secreta común significa que debe ser compartida de manera segura. La gran ventaja de la criptografía asimétrica es que el proceso de compartir claves de cifrado no tiene por qué ser seguro. Sin embargo, la relación matemática entre las claves públicas y las privadas significa que se requieren tamaños de claves mucho mayores. Además, es necesario hacer muchos más cálculos.

Por esta razón, el TLS utiliza la criptografía asimétrica para hacer y compartir una clave de sesión. Esta clave se utiliza luego para cifrar los datos transmitidos por el remitente y para descifrar los datos recibidos por el destinatario. Una vez terminada la sesión, la clave se tira y no se vuelve a utilizar.

La historia del TLS

El protocolo TLS actual se remonta a la implementación original de SSL (Secure Socket Layers). Fue desarrollado por Netscape en 1994. El TLS se especificó por primera vez en el RFC 2246 cinco años después.

A mediados de los 90, casi todo el tráfico de Internet estaba desencriptado. Cuando se utilizaba la encriptación, se recurría a ella con poca frecuencia para ocultar datos sensibles como los detalles de las tarjetas de crédito o las contraseñas. Desde entonces, la capacidad de los piratas informáticos (y de los gobiernos) para acceder a información privada ha aumentado de forma alarmante.

Esto llevó a que se solicitara que toda la información enviada por Internet fuera encriptada, y no sólo los datos considerados confidenciales.

El IAB publicó una declaración en noviembre de 2014 en la que pedía a los diseñadores, desarrolladores y operadores de protocolos que hicieran del cifrado la norma para el tráfico de Internet, haciéndolo esencialmente confidencial por defecto.

Esta fue una manifestación temprana del paso de DevOps a DevSecOps, en el que la seguridad se incorpora a las aplicaciones web en la etapa de diseño. También reconoció la creciente importancia del modelo comercial de Software como Servicio (SaaS), en el que se comparten muchos más datos sensibles desde el punto de vista comercial en la web en relación a los modelos de software tradicionales.

Desde 2014, los principales navegadores web son compatibles con el protocolo TLS. Muchos avisarán a los usuarios cuando intenten visitar una página web que no utilice el protocolo. Sin embargo, el uso de TLS en otras aplicaciones, como para el correo electrónico o VOIP, se ha quedado atrás. Es así que no siempre es evidente para los usuarios cuando sus datos están siendo encriptados, y cuando no lo están.

¿Por qué es importante el TLS?

A pesar de que la adopción de TLS es irregular en contextos fuera de las páginas web, es una consideración de seguridad muy importante para los desarrolladores de aplicaciones web. Se recomienda que todos los usuarios utilicen TLS para cifrar su correo electrónico.

Por eso se ha integrado el TLS en ZOHO Mail y se ha facilitado la encriptación de los correos electrónicos mediante el TLS. El correo electrónico, sin embargo, es sólo una aplicación de encriptación. También debes asegurarte de que todos los demás datos que intercambies en línea estén cifrados mediante un servicio VPN fiable. También, utilizar aplicaciones de mensajería cifrada de extremo a extremo siempre que sea posible.

En última instancia, el uso de la encriptación, ya sea para los correos electrónicos o cualquier otra cosa, es una manera de reducir la cantidad de datos que se pueden recopilar sobre ti. Por lo tanto es una forma de reducir tu exposición a los ataques cibernéticos. Si nadie puede leer la información que envías en tus correos electrónicos, nadie puede usarla para causarte daño.

El futuro

A pesar de la todavía limitada absorción de TLS fuera de las aplicaciones web, está a punto de ser más importante que nunca. Esto se debe a las importantes preocupaciones de seguridad sobre la Internet de las Cosas (IO). Ésta sigue siendo muy insegura en comparación con las tecnologías de conectividad más establecidas.

En este contexto, el TLS se ha identificado como una forma de mejorar la seguridad de la IO. El único inconveniente es que, al igual que en el caso de los teléfonos inteligentes, esto requerirá que todos los dispositivos de IO tengan la potencia de procesamiento necesaria para manejar los algoritmos de cifrado TLS.

Por ahora, el TLS sigue siendo una piedra angular de la encriptación del correo electrónico. No es probable que sea reemplazado en un futuro próximo. Es un componente importante de la forma en que ZOHO cuida tus datos. Pero también debería formar parte de las medidas de seguridad utilizadas por todos aquellos que se toman en serio su seguridad en línea.

Mira aquí todo lo que ZOHO Mail tiene para ofrecerte no sólo en seguridad sino mucho más allá.

Artículo original: ZOHO y adaptación a SAGITAZ.

DEJAR RESPUESTA