Cifrar el correo electrónico

Ante las crecientes dudas sobre la privacidad de la Red, se pueden aplicar sistemas para comunicarse de forma segura. (2ª parte de ¿Quién puede ver mi correo?)
Un sistema de cifrado se utiliza para garantizar que las comunicaciones entre personas u organizaciones no sean violadas por terceros, ya se trate de posibles delincuentes, empresas de marketing o administraciones. Para ello, se utilizan diferentes técnicas que convierten el texto en algo ilegible que sólo pueden descifrar el receptor y el emisor.
En los últimos años, ha crecido la demanda en la garantía de exclusividad y autenticidad en el uso de los sistemas cifrados y, por tanto, han experimentado una evolución notable. El cifrado es la base de tecnologías como la firma digital, que sirve para asociar un mensaje y su contenido a un emisor con garantía jurídica. Por otro lado, el cifrado de correos y conversaciones se utiliza como protección en comunicaciones corporativas y profesionales; de igual modo, el cifrado se utiliza en las comunicaciones entre los usuarios y sus respectivas administraciones públicas, con el fin de mantener la confidencialidad en todo tipo de gestiones. Pero el usuario común también puede aplicar, si lo desea, estos sistemas a sus relaciones digitales mediante distintos programas. Lógicamente, para que el sistema funcione, tanto el emisor como el receptor deben tener instalados programas de cifrado que utilicen sistemas de similares características.

Los sistemas de cifrado se basan en dos claves para el envío de la información, una pública y otra privada

Generalmente, los sistemas de cifrado más usados se basan en “criptografía asimétrica”, que consiste en utilizar dos claves para el envío de la información. Estas dos claves pertenecen a la misma persona u organización: el remitente del mensaje. Mientras una de las claves es pública y accesible a cualquier persona, la segunda clave es privada y sólo el propietario tiene acceso a la misma (nunca debe compartirse).

El funcionamiento es sencillo, la clave pública debe compartirse con la persona con la que se quiere mantener una comunicación cifrada, de modo que el destinatario pueda descifrar el contenido del mensaje y, a su vez, cifrar el mensaje de respuesta usando esa clave como identificación. La clave privada sirve para autentificar al usuario ante su servicio de correo, que la pedirá para poner en marcha el servicio de cifrado, por lo que es importante guardarla en un archivo de texto, un disco duro o una memoria flash, por si el usuario la olvidase. Si se pierde esta clave, no se puede acceder al sistema de cifrado.
En otras palabras, el cifrado del mensaje lo realiza el sistema de correo y la clave usada es la clave pública, pero sólo se podrá cifrar el mensaje usando esa clave, si el usuario se identifica usando la clave privada.

Sistemas de cifrado domésticos para correo de escritorio

La utilización de estos sistemas de cifrado, requiere usualmente de la instalación de extensiones para la aplicación de correo y, cada una de estas aplicaciones cuenta con diferentes métodos como por ejemplo, Enigmail para Thunderbird o una extensión gratuita para MS-Outlook. También existe PGP4win si usamos el SO Windows y el MS-Outlook como sistema de correo. (Para una explicación más extensa del funcionamiento de estos últimos, ver el artículo – en inglés – Sending a PGP-Encrypted Email in Outlook or a Webmail Client.

PGP es un estándar de facto para el cifrado de las comunicaciones. Las siglas PGP son las iniciales de la expresión inglesa Pretty Good Privacy. GnuPG es una aplicación gratuita y libre para utilizar un sistema de cifrado asimétrico de clave pública, basado en la tecnología OpenPGP. GnuPG está disponible para los principales sistemas operativos como Windows, Mac OS X y Linux.

Para poder cifrar el correo electrónico la mejor solución es disponer de una extensión que permita automatizar el proceso sin pasar por la línea de comandos

Una vez descargado, hay que ejecutar el archivo en el ordenador para instalarlo. El inconveniente de esta aplicación es que no funciona en entorno gráfico, es decir, se maneja mediante comando en la consola o terminal, lo que limita su utilización a usuarios con un cierto nivel de conocimientos. Por tanto, para cifrar el correo electrónico de forma “transparente” es aconsejable el uso de las soluciones basadas en extensiones.

Sistemas para servicios web

Los usuarios que utilizan sistemas de correo electrónico basados en web, como Hotmail o Gmail, necesitan otras opciones para cifrar y descifrar mensajes de correo. Para ello, existen diferentes aplicaciones y complementos del navegador que ayudan a simplificar el proceso. Al igual que en el caso de los correos de escritorio, es necesario tener instalado un programa de cifrado PGP en el ordenador del usuario, ya que estas extensiones no realizan la función de cifrar la información, sino que únicamente automatizan y simplifican su funcionamiento y lo adaptan al sistema de correo electrónico utilizado.

Para que el sistema de cifrado funcione, tanto el emisor como el receptor deben tener instalados los mismos programas o sistemas de cifrado.

En el caso de Windows, y especialmente con Windows Vista, lo mejor es instalarse el programa GPG4win antes de aplicar las extensiones. GPG4win lleva incorporado un gestor de claves llamado WinPT, que sirve para guardar las claves públicas y privadas. Una vez instalado este programa, se puede elegir entre diversas extensiones.
En el navegador Firefox, el complemento Freenigma, basado en GnuPG, permite cifrar los correos electrónicos de servicios como Gmail, Yahoo! Mail y Hotmail. El funcionamiento es sencillo, ya que el sistema se encarga de cifrar los correos antes de ser guardados y enviados, y posteriormente de descifrarlos en el webmail del destinatario. Funciona bajo invitación, que se pide previo registro del usuario.

Un punto débil de esta extensión es que el cifrado no tiene lugar en los servidores de Freenigma, sino en el navegador del usuario, desde donde se envían a los servidores del servicio sólo las direcciones de correo para poder generar las claves de cifrado de los mensajes. Por este motivo no se pueden mandar correos cifrados a servicios webmail no soportados por Freenigma, aunque serán casos muy minoritarios.

Para Gmail, se recomienda un complemento de Firefox denominado FirePGP combinado con el programa GPG4win

Para Gmail, se recomienda un complemento de Firefox denominado FirePGP que tiene algunas funcionalidades adicionales adaptadas al entorno gráfico de este sistema de webmail, como firmar y cifrar o verificar un correo electrónico. Además, FirePGP no sólo sirve para Gmail, sino que también permite cifrar, descifrar, firmar o verificar la firma de texto en cualquier página web. En esta página se explica paso por paso cómo instalar FirePGP y con qué programas de cifrado funciona mejor. Es importante leerla detenidamente antes de decidirse a instalarlo.

Hay que tener en cuenta que, si el correo electrónico es cifrado, las búsquedas dentro de los mensajes almacenados en estos servicios webmail, se verán afectadas, ya que dicha información estará guardada en modo cifrado, y por tanto será imposible encontrarla con los criterios de texto almacenados.

Para mantener un alto nivel de cifrado en los mensajes a la vez que se utiliza un sistema de correo en web, recomiendo recurrir a aplicaciones en las que el cifrado en ‘nativo’ como Tutanota o Protonmail

Cifrado en mensajería instantánea

El interlocutor con el que se utilice este sistema también debe disponer de Simp Life para poder descifrar los mensajes

Simp Life es una aplicación gratuita y en inglés para el sistema operativo Windows que cifra las conversaciones realizadas a través de los sistemas de mensajería instantánea Live Messenger, Google Talk/Jabber, Yahoo! Messenger y ICQ/AIM. Para cada uno de estos sistemas, es necesario descargar una versión diferente de Simp Lite, adaptada a ellos. Además, el interlocutor con el que se utilice este sistema de cifrado de las conversaciones también debe disponer de Simp Life para poder descifrar los mensajes.

Los usuarios que usen un único cliente de mensajería instantánea con soporte para los diferentes protocolos de comunicaciones, como Pidgin, para usuarios de Windows y Linux, y Adium, para usuarios de Mac Os X, disponen por defecto del sistema OTR para cifrar las conversaciones independientemente del sistema de mensajería instantánea utilizado.

Esta entrada fue publicada en Autentificación y encriptación, Divulgacion y etiquetada . Guarda el enlace permanente.

Deja un comentario