Llegamos a ustedes gracias a:



Reportajes y análisis

Correo electrónico cifrado de extremo a extremo

¿Es posible (o si quiera deseable) un sistema universal?

[01/12/2017] Las personas esperan que su correo electrónico sea privado, entre ellos y sus receptores, pero en la realidad los contenidos de sus correos electrónicos están expuestos durante la trasmisión. El cifrado completo de extremo a extremo significaría que solo el destinatario del correo puede descifrar sus mensajes, pero compartir las claves públicas y ponerse de acuerdo respecto a un estándar común de cifrado puede ser complicado para la mayoría de usuarios. Además, si las comunicaciones de correo electrónico están completamente cifradas a lo largo de todo el camino, no existiría la oportunidad para que un servicio intermedio, como Gmail u Office 365, revise el correo en busca de spam, organice automáticamente los correos electrónicos dentro de carpetas, u ofrezca búsquedas de texto completo.

A no ser que la plataforma esté integrada con el portal de correo electrónico, firewall y sistemas de prevención de pérdida de datos de la compañía, el cifrado de extremo a extremo del correo electrónico también podría impedir a las empresas monitorear el tráfico sospechoso. "En estos momentos, un gran número de compañías simplemente no cuenta con una solución que lidie con el correo electrónico cifrado, afirma Tom Fuhrman, líder de procedimientos de ciberseguridad de Marsh Risk Consulting.

Como resultado, la mayoría de usos del correo electrónico cifrado de las empresas son internos, o para propósitos especiales como viajes a China o Europa del Este. Cuando un mensaje de una plataforma de correo electrónico cifrado de una empresa se envía a usuarios externos, el destinatario generalmente obtiene un enlace hacia un servicio en línea seguro en donde pueden leer el mensaje.

Los problemas de usabilidad son solo parte de la batalla. Los servicios competidores han labrado nichos particulares de alto valor que anteriormente pueden haber estado servidos por el correo electrónico cifrado.

Esta infografía descargable ilustra cómo un mensaje de correo electrónico podría ser cifrado de extremo a extremo. También muestra otros tres contextos comunes de cifrado.

Alternativas fuera del correo electrónico

Un propósito potencialmente útil para el correo electrónico cifrado de extremo a extremo sería para doctores, bancos y abogados que envían documentos privados a sus clientes. Enviar estos archivos a través de un correo electrónico ordinario es un riesgo de seguridad, pero también es una violación al reglamento en muchas industrias reguladas. Con frecuencia, lograr que esos usuarios se inscriban en un servicio de correo electrónico cifrado es imposible.

En lugar de eso, las instituciones generalmente usaban soluciones externas de uso compartido de archivos. Uno de los servicios más populares para documentos que requieren de firmas es DocuSign. La compañía afirma contar con 300 mil clientes empresariales y más de 200 millones de usuarios en 188 países. Los destinatarios reciben un correo electrónico con un enlace hacia la página web de DocuSign, donde ellos mismos se autentican y después pueden leer y firmar documentos con facilidad. DocuSign cumple con los requisitos legales del U.S. Esign Act, así como con leyes similares en otros países, y la compañía afirma que sus firmas nunca han sido repudiadas o cuestionadas exitosamente por alguna corte a nivel mundial.

Cuando los documentos no requieren de firmas de acuerdo legal, existen muchos sitios web en línea para el uso compartido de documentos, como Box, que ofrecen seguridad y autenticación de grado corporativo. Al igual que con DocuSign, los destinatarios obtienen un correo electrónico regular que contiene un enlace hacia un documento o carpeta compartida.

Si las comunicaciones no involucran documentos, sino que simplemente requieren de mensajes cortos y seguros, existe una nueva serie de plataformas de prioridad móvil como WhatsApp y Signal que, desde el principio, han sido creadas con cifrado de extremo a extremo.

Para las compañías que están preocupadas por los hackers que escuchan los mensajes en tránsito, la mayoría de los proveedores principales de correo electrónico ofrecen soporte SSL o TLS para asegurar que las comunicaciones estén cifradas cuando se encuentren en tránsito. Asimismo, grandes servicios como Gmail y Office 365 también ofrecen cifrado para los datos en reposo.

"Cuando la trasmisión real era texto claro, esto hacía que el cifrado de correo electrónico de extremo a extremo tuviese perfecto sentido, afirma Morey Haber, vicepresidente de tecnología en BeyondTrust, Inc. "Ahora que la mayoría de las trasmisiones son cifradas, uno ha eliminado un propósito completo del cifrado de extremo a extremo.

Para los usuarios de negocio que viajan al extranjero, o se registran en redes Wi-Fi públicas, las VPN son las herramientas estándar que se usan para proteger sus comunicaciones.

Finalmente, los usuarios que simplemente necesitan enviar un solo archivo cifrado a alguien, simplemente pueden cifrarlo en su escritorio. En Windows, por ejemplo, simplemente pueden abrir las Propiedades del archivo y activar el cifrado. Después pueden enviar el archivo como un adjunto a su amigo y decirle la contraseña vía mensaje de texto o por teléfono.

Los sistemas de correo electrónico cifrado que usan las compañías

Algunas compañías siguen utilizando el cifrado de correo electrónico de extremo a extremo para comunicar información confidencial a clientes o comunicarse internamente. Éstas usan complementos de cifrado para sus plataformas existentes de correo electrónico, o usan servicios nuevos de nube. Generalmente, el cifrado de extremo a extremo es usado solo para un subconjunto de mensajes, con frecuencia en combinación con herramientas de prevención de pérdida de datos o para proyectos particularmente confidenciales.

"Yo espero que, si se comunicó bastante con China y Europa del Este, haya usado bastante ProtonMail, afirma Rob Enderle, analista principal en Enderle Group. "En cualquier clase de ambiente en el cual el gobierno observa las comunicaciones, algo como ProtonMail o un esquema de extremo a extremo va a ser la opción más segura, porque el gobierno no puede hacer que ellos entreguen las claves.

En particular, tiene sentido optar por una proveedora que no tiene una presencia grande en ese país, afirma, porque si la tiene, el gobierno puede apoyarse en la proveedora y, en efecto, mantener secuestrada a la inversión. De hecho, tanto China como Rusia se han opuesto severamente a las proveedoras de VPN, y Apple fue forzada a retirar las aplicaciones de VPN de su App Store en China este verano.

En otros países, las cortes podrían requerir que los proveedores de servicio de correo electrónico entreguen datos de clientes. Por ejemplo, el proveedor de correo electrónico, Lavabit, clausuró sus servicios en el 2013 después de que el gobierno de Estados Unidos le ordenara entregar sus claves de cifrado para poder acceder al correo electrónico de Edward Snowden. Este año, Lavabit se relanzó con un nuevo sistema de cifrado de extremo a extremo, uno en el cual solo el cliente -no el proveedor de correo electrónico- conserva las claves.

El miedo a que un proveedor de correo electrónico pueda acceder a mensajes es lo que está motivando a algunos usuarios corporativos a cifrar las plataformas por completo, confirmó Andy Yen, fundador y CEO de ProtonMail, que se encuentra localizada en Ginebra, Suiza. ProtonMail es una de las proveedoras de correo electrónico cifrado más grandes. La compañía afirma tener más de 20 mil clientes, en su mayoría negocios pequeños y medianos, y más de tres millones de usuarios en total.

Es un servicio de nube al que se puede acceder vía navegador o aplicación móvil, pero el cifrado y descifrado en sí ocurre en el dispositivo del cliente. Eso significa que la misma ProtonMail no puede leer los correos electrónicos y no podrá entregarlos a nadie, incluso con una orden judicial.

El cifrado también es parte del cumplimiento regulatorio de la General Data Protection Regulation (GDRP), que entrará en vigencia el próximo año en Europa, y en la industria médica se requiere cumplir con la regulación HIPAA. "Nuestro segmento más grande por el lado empresarial es el de salud, afirma Yen.

Al igual que con otras plataformas, si el destinatario no es usuario de ProtonMail, se le enviará un enlace, el cual pueden usar para acceder a los servicios seguros en línea. "El cifrado no es automático, uno tiene que intercambiar una contraseña, añade Yen. "Algunas veces los bancos enviarán contraseñas en el post, o en persona, o en un correo electrónico separado. Hemos visto todas las distintas posibilidades.

Dado que la propia ProtonMail no puede leer los mensajes, la plataforma de correo electrónico no ofrece los mismos beneficios que un cliente de correo electrónico de nube con funciones completas. Por ejemplo, los usuarios no pueden buscar el cuerpo de los mensajes, solo la línea del título, remitente, destinatario y hora del mensaje.

Otras plataformas corporativas se centran en los clientes de escritorio, que permiten una mayor flexibilidad. Eso incluye a Symantec Corp., que afirma tener "cientos de clientes empresariales para su producto de cifrado de extremo a extremo para correo electrónico. Los usuarios pueden acceder a la plataforma desde dispositivos móviles, por medio de un navegador web, y mediante un complemento para Outlook. "Las personas que cuentan con cifrado en sus clientes de escritorio pueden buscar sus correos electrónicos en sus propios escritorios, afirma Kathy Kriese, directora de gestión de producto de Symantec.

Ese no es el caso para el producto de correo electrónico con portal en dirección externa, añade. "Eso realmente no permite que la personas realicen búsquedas fácilmente, afirma. "Tendrían que buscar mensaje por mensaje. Sí, eso puede ser desafiante, pero de todas maneras tiende a ser comunicación de volumen más bajo.

Otra proveedora que ofrece soporte a los clientes de escritorio de Outlook es Zix Corp., que afirma tener 19 mil clientes y 3,3 millones de usuarios. ZixMail ofrece cifrado de extremo a extremo con el uso de la misma plataforma por parte del destinatario y el emisor, o mediante un portal de nube cuando el destinatario no es un cliente. Además, Zix ofrece filtros para que, automáticamente, las compañías puedan tener algunos correos electrónicos cifrados de extremo a extremo y el resto enviados de manera normal.

"La vasta mayoría de nuestros usuarios de negocio se encuentran en los sectores financieros y de salud, afirma David Wagner, CEO de Zix. Si un correo electrónico contiene el archivo de un paciente, este iría automáticamente a través del canal cifrado. "Eso proporciona un nivel muy importante de protección para información personal y confidencial, que es nuestro propósito principal, afirma.

No hay interoperabilidad a la vista

Existen varios estándares para el cifrado de extremo a extremo para correo electrónico, pero, hasta ahora, ninguno ha alcanzado un volumen crítico de proveedoras. Symantec, por ejemplo, ofrece soporte tanto al cifrado S/MIME como al PGP/MIME, afirma Kriese de Symantec. Eso no significa que el sistema tenga una interoperabilidad sencilla con los sistemas de otras proveedoras.

"Se vuelve más desafiante cuando se trata de los socios, afirma. "Uno puede tener una relación de uno a uno. Eso puede hacerse. Nosotros le proveemos hasta al directorio global, para que las personas coloquen sus claves públicas en un repositorio y de esta manera otras puedan buscarlas. Pero conseguir las claves de un lado a otro es un desafío.

Distintas plataformas usan métodos distintos para la administración de las claves de cifrado y existen otros tipos de problemas de registros financieros que tienen que resolverse para que las proveedoras tengan interoperabilidad. "Incluso con la mejor voluntad del mundo, los estándares se descomponen porque las proveedoras los implementan de maneras ligeramente diferentes, afirma Steve Wilson, vicepresidente y analista principal de Constellation Research Inc.

"Las personas han estado hablando sobre el cifrado dentro del correo electrónico por décadas, y aún no ha despegado por los problemas de compatibilidad, afirma Jason Hong, profesor asociado en el instituto de interacción humano computadora de la Universidad Carnegie Mellon. Además, se tiene a la base instalada actual trabajando en su contra. "Con el correo electrónico, uno tiene que convencer a muchas personas para que hagan un upgrade simultáneamente, afirma. "Cuando el correo electrónico fue inventado en los años 70, muchas de las técnicas de cifrado no eran conocidas y la potencia del CPU no era muy bueno, afirma.

A comienzos de año, Google hizo que su propio enfoque de cifrado de extremo a extremo para correo electrónico, E2Email, sea de código abierto. "Al hacer que la tecnología sea de código abierto, ellos la volverían de fácil acceso y con suerte crearían demanda e impulso alrededor del cifrado, brindando un estándar de industria para que sea adoptado por las personas, afirma Charles King, analista principal de Pund-IT, Inc. Al menos, esa era la idea. "No he visto ninguna señal de adopción amplia del cifrado de Google, afirma King.

Incluso la propia Google no la está utilizando. Tres años atrás, la compañía afirmó que iba a usar E2Email en una extensión de Chrome que pudiese cifrar y descifrar mensajes de Gmail en el explorador, pero eso no se ha materializado.

Google sí cifra correos electrónicos en tránsito y mientras los correos electrónicos están guardados en sus servidores, pero necesita poder leer el correo electrónico para poder filtrar el spam y los ataques de phishing, filtrar o buscar correos electrónicos y, por supuesto, analizar datos para fines de marketing.

"En realidad, nunca vamos a tener un correo electrónico masivo con cifrado de extremo a extremo, afirma Kenneth White, director del Open Crypto Audit Project. Los sistemas puros de cifrado interno de correos electrónicos pueden tener integradas tantas protecciones y tanta vigilancia como desee la compañía. "Pero apenas esté interactuando con un sistema externo, simplemente tiene una dirección de correo, afirma. "Tiene que pensar en la posibilidad de que todos en la lista tengan el mismo sistema y eso es simplemente algo imposible para la vasta mayoría de organizaciones.

Funciona tener por defecto un enlace dentro del correo electrónico que guíe a los destinatarios a una página web segura, afirma. "Pero entonces se trata de una aplicación web, es una página web. No es correo electrónico. En mi propio caso, al igual que otros en el campo de la seguridad, no veo que vaya a existir ningún tipo de correo electrónico cifrado de uso general.