jueves, 21 de junio de 2012

Más seguridad: emails codificados y firmados

Más seguridad: emails codificados y firmados

Codificar el correo electrónico evita miradas curiosas indeseadas. Crédito: Franziska Korak/dpa

INFORMÁTICA Por Thomas Joos (dpa)

BERLÍN, 20 jun (dpa) - Quien codifique su correo electrónico, hace que sólo sea legible para su destinatario. Además, el añadir una firma digital lo protegerá contra manipulaciones. Pero con programas normales de correo esto sólo es posible dentro de unos límites y, para mayor seguridad, se necesita software adicional.

El concepto "email", que en inglés significa literalmente "correo electrónico", en realidad es incorrecto. Porque lo que se envía a través de la red no es una carta, sino más bien una tarjeta postal. "Todo lo que allí esté escrito puede ser leído por quien deba llevar la tarjeta a su destinatario", advierte la oficina alemana de seguridad informática (BSI). Sólo la codificación del correo lo protegerá contra miradas curiosas.
Programas como Thunderbird, Outlook o el software de correo integrado del navegador Opera sólo pueden codificar el correo cuando éste es enviado. El usuario mismo debe cuidar que la función correspondiente esté activada en los ajustes de la cuenta de correo, cosa que no siempre ocurre.

Con todo, este paso sólo protege la transmisión de datos pero no el correo mismo, pues el codificarlo es un asunto mucho más complicado. "Los obstáculos técnicos son altos", dice el profesor Joachim Posegga, del instituto de seguridad informática de la universidad alemana de Passau. "Para ello se necesita de ciertos conocimientos especializados".

Para codificar el correo hay dos procedimientos: S/MIME y PGP. Para usar la codificación PGP se requiere software adicional. La norma S/MIME, en cambio, está integrada en muchos programas de correo electrónico, pero está condicionada a la existencia previa de un certificado digital según la norma X.509.
Estos certificados son otorgados por los llamados TrustCenter. "Pero esto toma tiempo y cuesta dinero", advierte Posegga. El usuario recibe el certificado en forma de archivo que puede instalar en su computadora e integrar en su programa de correo.
Por el contrario, la norma de codificación OpenPGP funciona sin certificado. La abreviatura PGP quiere decir "Pretty Good Privacy" ("Bastante buena privacidad"). Quien quiera codificar su correo con esta norma puede descargarse, por ejemplo, Gpg4win (www.gpg4win.org), un programa gratuito provisto de abundante documentación que ayuda al usuario poco experimentado. Usuarios de Mac, por el contrario, utilizan GPGTools ( www.gpgtools.org). Para Thunderbird existe la extensión Enigmail ( http://enigmail.mozdev.org/home/index.php.html).
Un problema típico de la codificación del correo es que las diferentes normas, certificados y programas no son compatibles entre sí. "El destinatario de mis mensajes codificados deberá usar siempre la misma técnica que yo", dice Posegga. No obstante, en la codificación mediante la norma S/MIME, el certificado no debe proceder necesariamente del mismo TrustCenter, tanto en el remitente como en el destinatario.
Otro problema es que los programas antivirus tampoco pueden examinar mensajes codificados en busca de software malicioso, con lo cualtales mensajes podrían teóricamente contener virus. Por esta razón, muchas organizaciones y empresas bloquean la recepción de mensajes codificados.

Una segunda medida de seguridad, además de la codificación, es la firma digital, que identifica claramente al remitente de un email. Garantiza  que el mensaje no pueda ser modificado antes de que llegue a manos del usuario a quien está destinado. Esto hace imposible toda manipulación del contenido. La firma digital y la codificación de mensajes van mano a mano. Ambas acciones suelen ser ejecutadas simultáneamente y así programas OpenPGP como Gpg4win o Mac GPGTools pueden ejecutar la codificación junto con la firma.
La codificación del correo, no obstante, sigue siendo un asunto para especialistas. "Para un usuario normal de Internet esto no vale la pena, sino más bien para empresas que tengan que intercambiar mucha información confidencial", dice Joachim Posegga. Al usuario privado, por el contrario, como medida de seguridad, el especialista aconseja no enviar datos confidenciales por email.
No obstante, quien deba hacerlo periódicamente, tiene que poner la parte confidencial del mensaje en un archivo aparte y proteger éste con un software de codificación como TrueCrypt. Por último, tanto el archivo como la contraseña para abrirlo se envían al destinatario por vía separada, sea por email o por SMS.

Fuente: elpais.cr



3 comentarios:

Carlos A. Solís S. dijo...

El problema radica en tratar de aplicar esto en los correos basado en la nube, ¿no crees?

Carlos A. Solís S. dijo...

El problema radica en tratar de aplicarlos en los servicios de correos basados en la nube, ¿no crees?

Anónimo dijo...

Entiendo que este tipo de servio en proveedore serios tien que estar incluido de forma tal que el usuario pueda implementarlos

saludos