¿Es más seguro el correo electrónico snail mail o HTTPS para la información confidencial?

5

Últimamente he sentido curiosidad por la seguridad del correo electrónico. Por lo que sé, el punto de comunicación más vulnerable es la red local desde la que envía su correo. Eso es, a menos que esté tratando de evitar que un gobierno lo utilice, que podría usar leyes, muchos recursos y posiblemente técnicas avanzadas de suplantación de SSL. Pero el correo postal también es inseguro.

Dicho esto, ¿sería más seguro enviar datos confidenciales a una institución por correo postal o mediante el correo web HTTPS? Me doy cuenta de que enviar sus datos directamente al sitio HTTPS de la institución es más seguro que estas dos cosas, pero restringimos esta pregunta al correo postal y a los servicios comunes de correo web habilitados para HTTPS. El correo electrónico tendrá que viajar a través de Internet; en otras palabras, no es un mensaje de Hotmail a Hotmail.

Me pregunto específicamente sobre la probabilidad de que otra persona intercepte y lea su mensaje.

    
pregunta Pieter 20.11.2012 - 21:47
fuente

5 respuestas

5

En cuanto a la probabilidad de que su mensaje sea interceptado, el correo web es definitivamente más vulnerable. No necesariamente por alguna razón especial, solo que el número de adversarios potenciales es mayor. Es difícil que una persona maliciosa en el lado opuesto del mundo acceda a su oficina de correos local y saque su correspondencia, pero no es difícil espiar el tráfico de correo electrónico si sabe dónde se origina.

En términos absolutos, sin embargo, la probabilidad de que un mensaje individual sea interceptado es baja. No puedo hablar por el resto del mundo, pero el correo de Estados Unidos procesa ~ 554 millón de piezas de correo por día . Es poco probable que una persona maliciosa aleatoria se enganche al mensaje de forma aleatoria.

El correo electrónico es bastante más prolífico. Un estimado de 2010 tuvo una producción mundial de correo electrónico de ~ 90 billones por año. Recortar el 90 por ciento de eso ya que el spam todavía deja ~ 9 billones al año. Incluso permitiendo que un gran porcentaje de eso sea una comunicación interna que nunca ve Internet, es un gran número de mensajes que analizar.

Sin embargo, al final no puedes estar seguro. La seguridad es DIFÍCIL, y una vez que algo está fuera de tu control físico, desaparece.

    
respondido por el Jonathan Garber 20.11.2012 - 22:20
fuente
4

El correo electrónico no se considera un medio de distribución seguro en la mayoría de los estándares. Por esta razón, cuando su banco u otra organización que necesite comunicar información confidencial debe enviar un correo electrónico que le solicite que inicie sesión en su sitio web para recibir el mensaje. Existen normas de correo electrónico seguras, pero es difícil garantizar que los servidores de correo sigan la distribución.

Puede usar el correo web HTTPS o las conexiones del servidor de correo TLS, pero eso solo protege la comunicación desde su computadora local al servidor de correo. El servidor de correo tendría que requerir una conexión cifrada, ya que el correo se retransmite al servidor de destino y los servidores deberían poder acordar la seguridad. Esto no está bien soportado o establecido en este momento.

Su mejor apuesta es utilizar algún tipo de cifrado del lado del cliente en un mensaje que envíe por correo electrónico o almacenar la información en un sitio web con seguridad SSL y solicitar que alguien acceda al sitio para obtener la información.

Es probable que el correo Snail sea mucho más seguro que el correo electrónico estándar, ya que el mensaje tendría que verse comprometido en un punto final (de nuevo, a menos que esté preocupado por un gobierno) y la seguridad física puede usarse en los puntos finales. . Si está preocupado por una entidad gubernamental, todas las apuestas están desactivadas ya sea para correo electrónico o correo postal.

    
respondido por el AJ Henderson 20.11.2012 - 22:53
fuente
3

Cuando se envía información clasificada por el gobierno a otro sitio, el protocolo dicta que tiene que se enviará por correo postal (o mensajería, no por correo electrónico), por lo que EE. UU. probablemente tenga alguna evidencia bastante convincente de que esto es más 'seguro'.

Por supuesto, esto depende de qué tan confiable sea el sistema postal de su país.

Una cosa en la que puedo pensar es que tan pronto como usted coloca cualquier información en un sistema conectado a Internet, no tiene ninguna garantía real de que solo vaya a donde quiera que vaya. Tal vez en esa máquina desde la que está enviando el correo electrónico haya un virus que está esperando a que BigSecretFile.txt se cargue y luego lo envíe en secreto a un atacante en espera. Con el correo postal, si su destinatario nunca recibe el paquete, o se rompe el sello al momento de su llegada, al menos tiene una certeza razonable de que su información ha sido comprometida.

Sin embargo, si simplemente debe asegurarse de que nadie más que su destinatario tenga sus secretos de texto simple, probablemente lo más seguro es generar y luego cifrar los datos (con una clave suficiente que solo su destinatario conoce) en una máquina que nunca se ha conectado a una red / es convincentemente seguro. Después de eso, no creo que sea más 'seguro' enviarlo por correo postal o por correo electrónico desde otra máquina, ya que sus datos están encriptados de cualquier manera, pero el correo de correo electrónico aún le da una mejor oportunidad de saber si ha sido interceptado. / p>     

respondido por el SpellingD 20.11.2012 - 22:16
fuente
1

Fácil: para los servicios de correo web habilitados para HTTPS contra correo de caracol: solo envíe contenedores cifrados. Un volumen truecrypt adjunto a un correo electrónico, o en una memoria USB en un sobre.

Si el mensaje debe estar claro, entonces creo que es más probable que el correo postal llegue.

El costo marginal de examinar un correo adicional es bastante grande y estático: alguien necesita encontrarlo, abrir el sobre, leerlo y devolverlo. Esto significa que es muy muy costoso ( incluso solo en términos de costos administrativos ) examinar grandes volúmenes de correo.

En contraste, el costo marginal de examinar un correo electrónico adicional es muy bajo, probablemente cercano a cero, ya que se trata de búsquedas de palabras clave automatizadas.

En resumen, creo que la NSA es mejor interceptando correos electrónicos que la CIA está interceptando cartas :)

    
respondido por el scuzzy-delta 21.11.2012 - 02:52
fuente
0

En realidad, incluso con el correo web https, la comunicación de back-end con el otro host (o incluso internamente entre los servidores) puede pasar por un simple smtp para transferir el correo electrónico al otro host. Algo así como tener una conexión wifi encriptada, pero tener un intruso conectado al troncal alámbrico.

Básicamente, no tiene control sobre el correo electrónico una vez que lo deja y confía en el ToS y la política de privacidad de su propio servidor de correo y el del destinatario y, lo que es más importante, su implementación. Puedes elegir tu propio host pero no el de los demás.

    
respondido por el ratchet freak 21.11.2012 - 00:54
fuente

Lea otras preguntas en las etiquetas