Si le preocupa la seguridad de su correo electrónico, la única forma de tener una confianza razonable es administrar el cifrado usted mismo, utilizando algo como PGP / GPG. Algunos puntos a tener en cuenta
-
Cuando usa un cliente web, https solo encripta su comunicación al servicio de correo que está usando. No proporciona ninguna garantía con respecto al nivel de cifrado que se produce durante el proceso de transporte de mensajes que se produce entre los servidores
-
Algunos servidores SMTP son compatibles con TLS, etc., si se les pide que lo utilicen. Sin embargo, no hay nada en la especificación del protocolo SMTP que requiera que lo hagan. Muchos servidores SMTP no lo proporcionan.
-
No tiene ninguna garantía con respecto a los servidores de correo por los que se pasará un mensaje. Muchas personas piensan que cuando envía un mensaje del servidor a al servidor b, el mensaje siempre se pasa como una conexión directa entre esos dos servidores. Esto no necesariamente es cierto. El protocolo SMTP se diseñó en un momento en que las redes y los sistemas de transferencia eran mucho menos confiables de lo que son ahora y cuando muchos lugares no tenían conexiones directas a la red central. Para habilitar la entrega confiable de correo, el protocolo admite la retransmisión de correo. En términos simplistas, el servidor de correo de envío puede decir "Hola, tengo un mensaje para gmail, pero parece que no puedo criarlo y tengo que ir y actualizar mi kernel. ¿Puede alguien pasarme este mensaje por mí cuando?" ¿Él regresa? Lo haría, pero tengo que actualizar mi kernel y no estará disponible por un tiempo ". Otro servidor, posiblemente desconocido hasta ahora, puede responder diciendo: "Oye, soy un host MX para tu dominio de destinatario, puedo transmitirte el mensaje".
Si bien todo esto significa que el correo electrónico suele ser bastante sólido, en el sentido de que el correo enviado a una dirección legítima generalmente se entrega con éxito o se recupera y rara vez desaparece, crea algunas debilidades en el protocolo que expone el sistema a una serie de explotaciones, como la falsificación de DNS. Incluso si ignora el aspecto de transporte del correo electrónico, también existe el problema de que los mensajes se guardan de forma rutinaria en servidores sin cifrar, como en las direcciones de correo electrónico, lo que hace que sean fácilmente accesibles para cualquier persona con suficientes derechos de acceso en el servidor. Incluso olvidando eso, ¿cuántas de las personas a las que ha enviado correo para almacenar o archivar ese correo de manera segura y encriptada? Si le envié un mensaje con datos confidenciales, ¿lo cifra antes de almacenarlo en su archivo de correo? ¿No? Entonces, ¿qué sucede con mi mensaje de correo confidencial cuando su computadora está infectada con un virus o malware? ¿Qué control tengo sobre esta información confidencial una vez que te la envíe?
La infraestructura de correo electrónico se diseñó en un momento en que la seguridad no era una prioridad alta. El enorme crecimiento y el deseo de mantener todo funcionando y la necesidad de mantener la compatibilidad con versiones anteriores significa que muchas de las mejoras que se han introducido, como el cifrado de la comunicación entre servidores, etc. son opcionales y, por lo tanto, no se pueden garantizar y, aunque ha habido muchas mejoras Al final del día, debe considerar el correo electrónico como un canal de comunicación intrínsecamente inseguro. A menos que el remitente y el destinatario tomen medidas adicionales para aumentar la seguridad de las comunicaciones por correo electrónico, debe considerar el mensaje como inseguro, incluso si cree que las compañías que mantienen los servidores involucrados son de buena reputación y aplican buenas prácticas.
También debemos mantener las cosas en perspectiva. ¿Qué parte del correo que envías contiene información que es realmente confidencial? ¿De qué valor real es esta información para otra persona? ¿Con qué facilidad podría alguien obtener esta información y el costo de hacerlo es menor que el valor obtenido? La seguridad rara vez debe considerarse en términos de si es segura o insegura. La pregunta debería ser si es lo suficientemente seguro para el propósito para el que lo uso. ¿El correo electrónico es lo suficientemente seguro para mi saludo de Navidad que le envío a mi abuela? Casi con seguridad. ¿Es lo suficientemente seguro para que mi banco envíe el código de acceso o PIN de mi cuenta? Definitivamente no. ¿Hay formas de aumentar la seguridad de los mensajes? Sí, pero todos vienen con un costo de conveniencia. Por ejemplo, PGP / GPG y el cifrado de su mensaje. Proporcionan una buena seguridad adicional, pero disminuyen la comodidad de la comunicación por correo electrónico. Ahora tiene que crear y administrar claves de cifrado y su destinatario debe configurar su cliente para que use su clave pública para desencriptar su mensaje antes de que puedan leerlo. Si el contenido es lo suficientemente sensible y valioso, este mayor inconveniente puede valer la pena. Muchas veces no lo es.