Llegamos a ustedes gracias a:



Noticias

Google, Microsoft, Yahoo y otros publican nuevo estándar de seguridad de correo electrónico

[23/03/2016] Ingenieros de algunos de los proveedores de servicio de correo electrónico más grandes del mundo se han congregado para mejorar la seguridad del tráfico de correo electrónico que cruza la Internet.

Ideado por los ingenieros de Google, Microsoft, Yahoo, Comcast, LinkedIn y 1&1 Mail & Media Development & Technology, la SMTP Strict Transport Security es un nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones de correo electrónico cifrado.

El nuevo mecanismo se define en un borrador que fue publicado la semana pasada para su consideración como un estándar Internet Engineering Task Force (IETF).

El Simple Mail Transfer Protocol (SMTP), que se utiliza para transferir mensajes de correo electrónico entre servidores y clientes de correo electrónico, así como de un proveedor a otro, data de 1982 y fue construido sin opciones de cifrado.

Por esta razón, en el 2002, una extensión llamada STARTTLS se agregó al protocolo como una manera de incluir TLS (Transport Layer Security) con las conexiones SMTP. Desafortunadamente, durante la década siguiente, la extensión no fue adoptada ampliamente, y el tráfico de correo electrónico intercambiado entre los servidores seguía siendo en gran parte sin cifrar.

Eso cambió después del 2013, cuando el excontratista de la Agencia Nacional de Seguridad de Estados Unidos, Edward Snowden, filtró documentos secretos que revelaron la vigilancia generalizada de las comunicaciones por Internet por parte de las agencias de inteligencia de Estados Unidos, Reino Unido y otros países.

En mayo del 2014, Facebook, que envía miles de millones de correos electrónicos de notificación a los usuarios todos los días, corrió una prueba y encontró que el 58% de esos correos electrónicos pasaron a través de una conexión cifrada con STARTTLS. En agosto de ese mismo año, la tasa subió a 95%.

Hay un problema, sin embargo: A diferencia del HTTPS (HTTP Secure), STARTTLS permite lo que se conoce como cifrado oportunista. No valida los certificados presentados por los servidores de correo electrónico, bajo el supuesto de que incluso si no se puede verificar la identidad de un servidor, cifrar el tráfico es mejor que nada.

Esto significa que las conexiones STARTTLS son vulnerables a los ataques de hombre en el medio, donde un hacker en una posición para interceptar el tráfico podría presentar el remitente del correo electrónico cualquier certificado, incluso uno autofirmado, y será aceptado, lo que permite que el tráfico se descifre. Además, las conexiones STARTTLS son vulnerables a los ataques denominados de downgrade de cifrado, donde simplemente se quita el cifrado.

La nueva propuesta SMTP Strict Transport Security (SMTP STS) se encarga de ambos temas. Da a los proveedores de correo electrónico los medios para informar a los clientes que se conectan que el TLS está disponible y debe usarse. También les dice cómo se debe validar el certificado presentado, y lo que debe ocurrir si una conexión TLS no se puede negociar con seguridad.

Estas políticas de SMTP STS se definen a través de registros DNS especiales añadidos al nombre de dominio del servidor de correo electrónico. El protocolo proporciona mecanismos para que los clientes validen automáticamente estas políticas y reporten cualquier falla.

Los servidores también pueden decir a los clientes que guarden en la memoria caché sus políticas STS SMTP por una cantidad específica de tiempo, para evitar que los ataques de hombre en el medio ofrezcan políticas fraudulentas cuando ellos se intentan conectar.

Lucian Constantin, IDG News Service