Los gigantes de internet se alían
para reforzar el email con un nuevo protocolo
Una palabra que puso en alerta
a los usuarios del sistema operativo de Google el año pasado vuelve a
pronunciarse con fuerza. Stagefright
regresa, tanto o más peligroso en su nueva encarnación, que ha sido bautizada
por sus descubridores como Metaphor.
Gmail
anunció que ya cuenta con mil millones de usuarios activos al
mes. Una increíble cifra que ya habían logrado otros servicios de Google como Android,
Maps, Chrome o Youtube y que la ‘app’ de mensajería instantánea WhatsApp
(propiedad de Facebook) también alcanzó recientemente.
Ahora,
la empresa informó que tiene un nuevo propósito: que nuestros correos electrónicos
sean más seguros. Google,
Microsoft, Yahoo, LinkedIn, 1 & 1 Mail y Comcast -la
principal compañía proveedora de televisión por cable en Estados Unidos-
unieron sus fuerzas para desarrollar un nuevo protocolo de email.
Estas
compañías presentaron una propuesta para mejorar la
seguridad del correo electrónico al Grupo de Trabajo de Ingeniería de
Internet (IETF por sus siglas en inglés), una organización que vela por el buen
funcionamiento de la Red. El grupo de expertos de esas empresas propuso la
creación de un nuevo protocolo SMTP
STS (Strict Transport Security, Seguridad del Transporte Estricta).
Ahora bien, ¿qué beneficios conllevaría que este protocolo se convirtiera en un
estándar?
En
1982, se comenzó a utilizar el Simple
Mail Transfer Protocol (SMTP). Este protocolo enviaba todos los
mensajes en texto plano y no incluía medidas para
evitar que un ciberatacante interceptara los correos electrónicos.
Para
mejorar la seguridad, en 2003 se presentó el SMTP STARTTLS,
el cual permite que las conexiones SMTP sean seguras gracias a la
utilización del protocolo TLS (Seguridad
de la Capa de Transporte en español) para cifrar los mensajes. Sin embargo,
STARTTLS presenta un fallo de
seguridad. Este protocolo permite que los mensajes se envíen incluso cuando
la identidad del servidor no se puede verificar.
STARTTLS
es vulnerable, así, a ataques ‘man-in-the
middle’, en los que el ciberdelincuente es capaz de espiar los mensajes que
se envían entre el emisor y el receptor del correo sin que ninguno de
ellos se entere. Por ejemplo, un atacante podría hacer creer al cliente
que el servidor no utiliza SSL o podría presentar
un certificado digital falso. De esta forma, lograría interceptar los correos electrónicos .
Los
gigantes tecnológicos acaban de presentar ese nuevo estándar SMTP STS para impedir que un ciberatacante
pueda perpetrar esas fechorías. Con él, pretenden que todos los correos
electrónicos se envíen a través de un canal cifrado y que ningún
ciberdelincuente pueda espiar las comunicaciones. Este protocolo es similar al HTTP Strict Transport Security (HSTS) diseñado para que el servidor y
el navegador web interactúen usando exclusivamente comunicaciones seguras.
El
nuevo sistema comprueba si el destinatario
utiliza SMTP STS y si tiene un certificado de cifrado válido y actualizado,
asegurándose de que lo está enviando a un servidor seguro. En caso de que no
sea así, el correo electrónico no llegará a mandarse y se informará al emisor
sobre la causa. Con este método, se impide que un ciberatacante espíe los
mensajes: cuando se detecta una anomalía, el correo electrónico ni siquiera
sale de la bandeja.
Según
los últimos
datos de Google, el 83
% de los mensajes que se envían desde Gmail a otros proveedores ya
están cifrados usando TLS, así como el 70 % de los que se mandan desde otros
proveedores a su servicio. Ahora, este protocolo quiere contribuir a
incrementar aún más la privacidad de nuestros correos.
Por
el momento, el nuevo SMTP STS es tan solo una propuesta que el IETF tiene seis meses para evaluar. Eso
sí, que el proyecto haya sido elaborado por los gigantes tecnológicos hace
pensar que tal vez sea una realidad dentro de poco y consiga aguar la fiesta a
los espías interesados en interceptar la información que nos llega a la bandeja
de entrada.
Mientras
tanto, siempre es recomendable contar al menos con algún servicio como los que ofrecemos
en Panda Security para proteger el
tráfico del correo de nuestra empresa contra el ‘malware’ y el ‘spam’,
independientemente si se trata de una pyme o una gran empresa. Al fin y al
cabo, los correos electrónicos encierran gran cantidad de datos confidenciales,
especialmente en el ámbito corporativo. Por eso, preservar la privacidad del
email es especialmente importante.
No hay comentarios:
Publicar un comentario