Seguridad en el correo electronico: antecedentes
La seguridad en el correo electrónico ha pasado por una serie de etapas desde su creación. El protocolo subyacente de la década de 1980 que se usa para el envío de correos electrónicos: el Protocolo Simple de Transferencia de Correo (SMTP, por las siglas en inglés de Simple Mail Transfer Protocol) resulta antiquísimo, y no tiene las capacidades necesarias para proteger correctamente la comunicación por correo electrónico. Para mejorar su seguridad, se inventó el SMTP STARTTLS en 2002, pero resultó que aún era susceptible a ataques de intermediario (MITM) y de degradación de la conexión.
Con el objetivo de elevar el listón de la seguridad, se elaboró un nuevo protocolo, el SMTP con Seguridad de Transporte Estricta (STS, por las siglas en inglés de Strict Transport Security), después de nada menos que 14 años de espera desde el intento anterior. Esta vez, todos los actores principales (Google, Microsoft, Yahoo, Comcast, LinkedIn, y 1&1 Mail…) han unido fuerzas para garantizar el éxito de la iniciativa.
¿Cuál es el objetivo de este nuevo estándar?
El SMTP STS ha sido diseñado para evitar los ataques de intermediario.
¿Qué mejoras ofrece SMTP STS sobre la seguridad de SMTP en contraposición a STARTTLS?
El SMTP STS funciona en paralelo al STARTTLS para mejorar el SMTP (en general), y para evitar tanto ataques de degradación de la conexión como de intermediario. Este verifica si el destinatario es compatible con SMTP STS y tiene un certificado de clave pública válido y actualizado. En caso afirmativo, entonces envía el correo electrónico de manera segura al destinatario. En caso contrario, evita que se envíe el mensaje, y notifica al usuario de la razón.
¿Cuánto tardará en hacerse efectivo?
Actualmente es un estándar propuesto, y está atravesando varias rondas de mejoras. Huelga decir que pasará algún tiempo antes de que los principales actores comiencen a implementarlo.
¿Será suficiente para restaurar la privacidad y la seguridad en el correo electronico?
STARTTLS evita las fugas de metadatos (como la línea del “asunto”) y es capaz de negociar el “secreto adelante” para sus correos electrónicos, pero, ¿será el SMTP-STS un paso fundamental hacia la seguridad en el correo electronico, y resultará suficiente para restaurar la privacidad del correo electronico? Nuestra respuesta es NO.
Aquí es donde las cosas se tuercen un poco, debido a que el fortalecimiento de la seguridad del SMTP solamente protege a los correos electrónicos desde servidores SMTP fuente hasta servidores SMTP de destino (y eso solamente si se hace correctamente), y no más que eso.
En consecuencia, eso deja sin resolver otros temas tales como:
- El mensaje permanece en texto simple, desde que sale del dispositivo del remitente hasta que alcanza el servidor SMTP del remitente (asumiendo que no haya SSL/TLS implementado).
- El mensaje permanece en texto simple, desde el servidor SMTP del destinatario hasta alcanzar el dispositivo del destinatario (asumiendo que no haya SSL/TLS implementado).
- El servidor SMTP (tanto del lado del remitente como del lado del destinatario) podrá ver el mensaje en texto simple.
Estas brechas son las que los adversarios pueden aprovechar para explotar exitosamente la confidencialidad e integridad de los correos electrónicos.
Así que, ¿cuál es la mejor forma de restablecer la privacidad en el correo electrónico?
El cifrado de extremo a extremo (E2EE) es la única respuesta. En este, el remitente cifra un correo electrónico (con la clave pública del destinatario) y el destinatario descifra ese correo electrónico con su clave privada, y todas estas operaciones ocurren del lado del cliente. Este enfoque simplemente no le ofrece ninguna oportunidad al adversario para que este pueda ver el mensaje en texto simple. Mailfence, un paquete de correo electrónico seguro y privado, ofrece un servicio de correo electrónico con E2EE “verdadero” junto con prestaciones de firma digital.
En pocas palabras, el SMTP STS no debe compararse con el nivel de seguridad que ofrece el E2EE. Sin embargo, y a pesar de que solo es una pieza del puzle, ¡ciertamente es un paso en la dirección correcta!
Síganos en twitter/reddit y manténgase actualizado en todo momento.
