TENDENCIAS | Noticias | 22 MAR 2016

Google, Microsoft, Yahoo y otros publican nuevo estándar de seguridad de correo electrónico

El objetivo del nuevo mecanismo SMTP Strict Transport Security es asegurar que el tráfico de correo electrónico cifrado no es vulnerable a los ataques man-in-the-middle
Google, Microsoft, Yahoo y otros publican nuevo estándar de seguridad de correo electrónico
Lucian Constantin

Los ingenieros de algunos de los mayores proveedores de servicios de correo electrónico de todo el mundo se han unido para mejorar la seguridad del tráfico de correo electrónico que atraviesa  Internet.

Ideado por los ingenieros de Google, Microsoft, Yahoo, Comcast, LinkedIn y 1 & 1 Mail & Media Development & Technology, el SMTP Strict Transport Security es un nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones por correo electrónico cifrados.
The new mechanism is defined in a draft that was published late last week for consideration as an Internet Engineering Task Force (IETF) standard. El nuevo mecanismo se define en un borrador  que fue publicado la semana pasada para su consideración como un estándard de  Internet Engineering Task Force (IETF).

El Protocolo simple de transferencia de correo (SMTP), que se utiliza para transferir mensajes de correo electrónico entre clientes de correo electrónico y servidores, así como de un proveedor a otro, se remonta a 1982 y no se construyó con ninguna opción de cifrado.

Por esta razón, en 2002, una extensión llamada STARTTLS fue añadida al protocolo como una manera de incluir TLS (Transport Layer Security) con conexiones SMTP. Por desgracia, durante la década siguiente, no fue adoptado ampliamente la extensión, y el tráfico de correo electrónico intercambiados entre los servidores permaneció en gran parte sin cifrar.
Eso cambió después de 2013, cuando el exempleado  de la Agencia de Seguridad Nacional de EE.UU. Edward Snowden filtró documentos secretos que revelaron la vigilancia generalizada de las comunicaciones de Internet por las agencias de inteligencia de los EE.UU., Reino Unido y otros países.

En mayo de 2014, Facebook, que envía miles de millones de mensajes de correo electrónico de notificación a los usuarios todos los días, hizo una prueba y se encontró que el 58% de los mensajes de correo electrónico pasa a través de una conexión cifrada con STARTTLS. En agosto de ese mismo año, la tasa aumentó a 95%.

Hay un problema, sin embargo: a diferencia de HTTPS (HTTP seguro), STARTTLS permite lo que se conoce como cifrado oportunista. No valida los certificados digitales presentados por los servidores de correo electrónico, bajo el supuesto de que, incluso si la identidad del servidor no se puede verificar, cifrar el tráfico es mejor que nada. Esto significa que las conexiones STARTTLS son vulnerables a los ataques man-in-the-middle, donde un hacker en una posición de interceptar el tráfico podría presentar el remitente de correo electrónico con cualquier certificado, incluso un firmado por uno mismo, y será aceptado, lo que permite para el tráfico a ser descifrados. Además, las conexiones STARTTLS son vulnerables a los llamados ataques de versiones anteriores de cifrado, donde se extrae simplemente el cifrado.

La nueva propuesta de SMTP Strict Transport Security (SMTP STS) aborda estas dos cuestiones. Se ofrece a los proveedores de correo electrónico de los medios para informar a los clientes de que TLS que está disponible y se debe utilizar. También les dice cómo el certificado presentado debe ser validado y lo que debería ocurrir si una conexión TLS no se puede ser negociada con seguridad.

Estas políticas  SMTP STS se definen a través de los registros DNS especiales añadidos al nombre de dominio del servidor de correo electrónico. El protocolo proporciona mecanismos para que los clientes validen automáticamente estas políticas e informen sobre cualquier fallo. Los servidores también pueden informar a los clientes para esconder sus políticas SMTP STS durante un período específico de tiempo, con el fin de evitar que los atacantes man-in-the-middle puedan usar políticas fraudulentas cuando intentan conectarse.

El protocolo propuesto es similar al HTTP Strict Transport Security (HSTS), que está destinado a prevenir los ataques de HTTPS escondiendo la política HTTPS de un dominio localmente en el navegador. Lo hace, sin embargo, suponiendo que la primera conexión de un cliente particular hacia el servidor se realizó sin ser interceptado; de lo contrario, una política fraudulenta podría haber sido escondida.

Según los últimos datos de Google, el 83% de los mensajes de correo electrónico enviados por los usuarios de Gmail a otros proveedores de correo electrónico de todo el mundo están cifrados, pero sólo el 69% de los correos electrónicos entrantes de otros proveedores se reciben más de un canal cifrado.

También hay grandes discrepancias en el cifrado de correo electrónico entre las regiones del mundo, con proveedores de correo electrónico en Asia y África la situación es mucho peor que la de los proveedores en Europa y EE.UU.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información