psdesign1 - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Google, Microsoft, Yahoo! y otros se unen para desarrollar un protocolo de correo más seguro

El protocolo SMTP Strict Transport Security permitirá a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones cifradas por correo electrónico.

Según los más recientes datos de Google, el 83% de los mensajes de correo electrónico enviados por los usuarios de Gmail a otros proveedores de correo electrónico en todo el mundo están cifrados, pero sólo el 69% de los correos electrónicos entrantes de otros proveedores se reciben sobre un canal cifrado.

El protocolo de transferencia de correo simple (SMTP), que se utiliza para transferir mensajes de correo electrónico entre clientes de correo electrónico y servidores, así como de un proveedor a otro, data de 1982 y no se creó con opciones de cifrado.

Por esta razón, en 2002 se añadió una extensión llamada STARTTLS al protocolo, como una manera de incluir seguridad en la capa de transporte, TLS (Transport Layer Security), a las conexiones SMTP. Pero la extensión no fue ampliamente adoptada, y el tráfico de correo electrónico intercambiado entre servidores permaneció sin ser cifrado, en su mayoría.

Al menos así fue hasta que en 2013 un ex empleado de la Agencia de Seguridad Nacional de EE.UU. (NSA) filtró documentos secretos que hicieron pública la vigilancia realizada por las agencias de inteligencia de los EE.UU., Reino Unido y otros países sobre las comunicaciones de internet.

A raíz de ese incidente se ha procurado reforzar la seguridad de las conexiones y cifrar el envío de correo electrónico. Por esta razón, gigantes de la Web brindaron su apoyo a STARTTLS, una extensión que puede actualizar las conexiones de texto sin formato en el protocolo SMTP y convertirlas en conexiones cifradas.

A diferencia de HTTPS (HTTP seguro), STARTTLS permite lo que se conoce como ‘cifrado oportunista’. No valida los certificados digitales presentados por los servidores de correo electrónico, bajo el supuesto de que incluso si la identidad del servidor no puede ser verificada, cifrar el tráfico es mejor que no hacer nada.

Pero, de acuerdo con investigaciones recientes realizadas por Google, uno de los problemas con este ‘cifrado oportunista’ habilitado por STARTTLS es que el sistema "favorece el defecto de apertura", lo que significa que incluso si algo no está bien, el correo seguirá siendo enviado sin encriptar, también conocido como ‘en texto claro’.

Esto significa que las conexiones de STARTTLS son vulnerables a ataques de tipo man-in-the-middle (MitM), donde un hacker capaz de interceptar el tráfico podría presentar al remitente de correo electrónico cualquier certificado, incluso uno auto firmado, y será aceptado, permitiéndole así descifrar el tráfico. Además, las conexiones STARTTLS son vulnerables a los llamados ataques de degradación de cifrado, donde simplemente se retira el cifrado.

De ahí que la semana pasada, un grupo de empresas conformado por Google, Microsoft, Yahoo!, Comcast, LinkedIn y 1&1 Mail & Media Development & Technology, presentaran una propuesta de estándar al Internet Engineering Task Force (IETF).

Ideado por los ingenieros de las empresas mencionadas, SMTP Strict Transport Security (SMTP STS) es un nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones cifradas por correo electrónico.

El borrador se entregó al IETF el viernes 18 de marzo y caduca el 19 de septiembre.

¿De qué se trata SMTP STS?

Los expertos y responsables de las compañías involucradas en el desarrollo de este estándar buscan aumentar la confidencialidad de los contenidos de los mensajes y mejorar las comunicaciones entre los extremos, evitando que bajo ningún concepto se pueda suplantar la identidad del servidor y que el usuario se comunique con un extremo no legítimo.

Con este mecanismo, los servidores podrían validarse de forma mutua y tomar decisiones de seguridad adecuadas para cada situación, como por ejemplo, qué cifrado soportan y qué acción tomar en el caso de que exista un problema de seguridad.

Una de las medidas que introduce la propuesta es la posibilidad de no entregar el mensaje si no se puede entregar de forma segura, comprobando la política del destinatario antes de enviar un correo electrónico.

SMTP STS ofrece a los proveedores de correo electrónico los medios para informar a los clientes que se conectan que TLS está disponible y que deberían usarlo. Les indica también cómo debería ser validado el certificado presentado y qué debería suceder si una conexión TLS no se puede negociar con seguridad.

El protocolo proporciona mecanismos para que los clientes validen automáticamente estas políticas e informen sobre cualquier fallo.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close