メール暗号化の基礎知識 - 盗聴から通信を守る方法

Lectura de 14 min aprox.

El correo electrónico sigue siendo central para la comunicación empresarial, pero su arquitectura fue diseñada en los años 70 con la seguridad como una idea tardía. El correo estándar se envía en texto plano, legible por cualquiera en la ruta. Contratos, facturas, información personal, enlaces de restablecimiento de contraseña - el cifrado es esencial para proteger la información sensible enviada por correo. Este artículo explica sistemáticamente los fundamentos del cifrado de correo, desde el cifrado de transporte TLS hasta el cifrado de extremo a extremo con S/MIME y PGP.

Cifrado de transporte con TLS

Cómo funciona TLS y sus limitaciones

TLS (Transport Layer Security) es una tecnología que cifra la comunicación entre servidores de correo. La ruta de comunicación está cifrada desde tu cliente de correo al servidor, y durante las transferencias entre servidores. Actualmente, los principales servicios de correo como Gmail, Outlook y Yahoo Mail soportan TLS, y la mayoría de los correos están cifrados durante el tránsito.

Sin embargo, TLS tiene limitaciones importantes. TLS solo cifra la "ruta de comunicación" - los correos se almacenan en forma descifrada en los servidores. Esto significa que los empleados del proveedor de correo o atacantes que obtengan acceso no autorizado a los servidores pueden leer el contenido. Además, si el servidor de correo del destinatario no soporta TLS, el correo puede enviarse sin cifrado.

S/MIME y PGP - Cifrado de extremo a extremo

Diferencias entre los dos métodos

El cifrado de extremo a extremo cifra en el dispositivo del remitente y descifra solo en el dispositivo del destinatario. Como los correos permanecen cifrados en los servidores, ni siquiera los proveedores pueden leer el contenido. Hay dos métodos principales para el cifrado de extremo a extremo del correo: S/MIME y PGP (GPG).

S/MIME usa certificados digitales emitidos por Autoridades de Certificación (CAs) para verificar la identidad. Se usa ampliamente en entornos corporativos y es soportado nativamente por Outlook y Apple Mail. PGP, por otro lado, usa un modelo de "Red de Confianza" donde los usuarios verifican las claves públicas de los demás. Como no depende de una CA central, es preferido por individuos, periodistas y activistas. Entender los mecanismos de PKI hace más claras las diferencias entre ambos.

Servicios de correo cifrado para usuarios generales

Correo cifrado fácil de usar

Dado que configurar S/MIME o PGP tiene una barrera técnica alta, los servicios de correo cifrado son recomendados para usuarios generales. Servicios como ProtonMail y Tutanota aplican automáticamente cifrado de extremo a extremo entre usuarios del mismo servicio. Al enviar a direcciones de correo externas, los mensajes pueden enviarse como mensajes cifrados protegidos con contraseña.

Estos servicios también almacenan correos cifrados en el servidor (cifrado de acceso cero), lo que significa que ni siquiera los proveedores pueden leer el contenido. Las funciones básicas de cifrado están disponibles incluso en planes gratuitos, haciéndolos una opción práctica para usuarios conscientes de la privacidad. Sin embargo, ten en cuenta que el cifrado completo de extremo a extremo no se logra a menos que el destinatario también use el mismo servicio.

Cifrado de archivos adjuntos

Cómo enviar archivos adjuntos de forma segura

Más allá de cifrar el cuerpo del correo, proteger los archivos adjuntos también es importante. El método más simple es comprimir archivos en un ZIP protegido con contraseña antes de adjuntarlos. Sin embargo, nunca envíes la contraseña en el mismo correo. Comunica la contraseña a través de un canal diferente (teléfono, SMS, aplicación de chat, etc.). Ten en cuenta que "PPAP" (enviar un ZIP protegido por correo y la contraseña en un correo separado), que se extendió en Japón, casi no tiene beneficio de seguridad ya que ambos viajan por la misma ruta, y ahora está obsoleto.

Un método más seguro es subir archivos al almacenamiento en la nube (Google Drive, OneDrive, Dropbox, etc.) y enviar un enlace compartido con permisos de acceso configurados por correo. Este método también permite revocar el acceso a archivos posteriormente. Al manejar documentos altamente confidenciales, combinar con autenticación usando <AmazonLink keyword="セキュリティキー" locale={locale} className="amazon-inline-link">llaves de seguridad de hardware (Amazon)</AmazonLink> proporciona una protección aún más fuerte. Para conceptos fundamentales de cifrado, consulta también fundamentos de cifrado.