1.2.5.1 Correo electronico

El correo electrónico se ha vuelto un medio de comunicación masivo, versátil y funcional. Con él se puede compartir una gran cantidad de datos instantáneamente y desde cualquier lugar al  estar integrado en diversos dispositivos.
En ambientes académicos, el correo electrónico es el medio por el cual investigadores y alumnos comparten ágilmente información científica y escolar. En los laborales, es uno de los medios de comunicación interna más utilizado.
Sin embargo, esta tecnología lleva consigo una serie de riesgos tecnológicos que pueden ocasionar serios problemas de seguridad a la información, entre los cuales se incluyen la divulgación de información confidencial, la eliminación de datos, robo de identidad del emisor, interrupción del servicio, entre otras.

Qué pasaría si…
¿Te dieras cuenta que la información almacenada en tu correo electrónico fue vista por alguien más?, ¿Alguien eliminara mensajes de citas laborales o algún reporte urgente?, ¿Enviara mensajes utilizando tu cuenta o simplemente no pudieras acceder a tu servicio de correo?
Las respuestas a estas preguntas podrían ser la afectación de la reputación, la productividad, la pérdida de dinero y tiempo, representando un impacto a la información del correo electrónico.

Las amenazas más comunes a tu correo
Cómo podrás darte cuenta, la información que manejas en el correo electrónico tiene mucho valor para ti y existen personas que están interesadas en darle un mal uso.  Para lograrlo utilizan diferentes mecanismos  como los siguientes:

Phishing
Esta amenaza se realiza haciendo uso de la ingeniería social para robar tu información. Consiste en el envío de correos fraudulentos masivos aparentando provenir de una fuente confiable, a través del engaño recolectan datos como nombres de usuarios, contraseñas, datos bancarios, entre otros.

SPAM
Son correos publicitarios no solicitados y enviados de manera masiva, logran saturar tu buzón de correo, dificultando la identificación del correo legítimo, además, afectan la operación regular del mismo servicio, ocasionando incluso que algunos mensajes enviados no lleguen a sus destinatarios debido a la confusión de algunos filtros antispam.

Malware o códigos maliciosos
El correo electrónico es un medio común por el cual los criminales cibernéticos propagan software malicioso a tu computadora y la de tus contactos. Estos programas intervienen tu computadora de diversas maneras para hacer mal uso de tu información.

Robo de cuenta
Muchas personas pueden interesarse en hacer uso de tu cuenta de correo electrónico para realizar chantajes, difamaciones, robos de información personal, todos con diferentes efectos colaterales. Para reducir estos riesgos se recomienda:
Buenas prácticas
o   Manejar una contraseña robusta con números, letras, símbolos, etc.
o   Cambiar tu contraseña frecuentemente.
o   Si cuentas con diversas cuentas de correo electrónico, maneja una contraseña diferente para cada una.
o   Cuando registres una nueva cuenta de correo electrónico emplea mecanismos de recuperación de contraseña. En este caso, elabora una pregunta secreta que sea difícil de predecir. Esta información puede servir para recuperar tu cuenta en caso de que te la roben.
o   Redireecciona la recuperación de tu cuenta de correo a otras cuentas.
o   No almacenes información personal crítica, si es así utiliza medios para cifrarla.
o   Maneja respaldos de tu correo. ¡No dejes en la nube tu información más valiosa!
o   Si revisas tu correo en lugares públicos, siempre verifica cerrar la sesión del mismo.
o   Si vas a unir tus redes, mensajero y correo electrónico debes estar consciente del riesgo. Por ello, es importante que tu contraseña cumpla con los primeros dos puntos.

Servicio de correo electrónico inseguro
Los riesgos no siempre son responsabilidad del usuario, también dependen de los controles de seguridad con los que cuente el servicio de correo electrónico en el que esté alojada la cuenta. Antes de elegir un servicio de correo, considera los siguientes consejos:
1.      Utiliza servicios de correo electrónico con reputación.
2.      Verifica que el servicio cuente con filtros de correo no deseado (SPAM).
3.      Asegúrate que el servicio de correo electrónico impida que la información de tu cuenta sea interceptada por alguien más. Para ello, verifica que la dirección del navegador contenga la leyenda https, un icono de candado en el navegador que notifique su activación.
4.      Revisa que el servicio ofrezca la posibilidad de usar firma electrónica avanzada y cifrado.
Adoptar estas prácticas de seguridad en el uso diario del correo electrónico, fomenta un ambiente confiable para aprovechar esta tecnología al máximo. Por el contrario, su uso descuidado puede comprometer no sólo tu información, también la de tu trabajo, familia y generar más problemas que los beneficios.
La necesidad de proteger la información privada que se comunica por mensajería electrónica ha devenido en norma. Sin embargo, muchas implementaciones tienen ya sus buenos años, volviéndose obsoletas y haciendo ineficaz el uso de tecnología de seguridad. Por ello, es necesario repensar estos entornos apuntando a una correcta reingeniería.
Para lograrlo, debemos indagar sobre las mejores prácticas actualmente utilizadas en servidores de correo, el momento oportuno para aplicar cambios y las maneras de proteger los datos mientras se desplazan en la red.
Veamos a continuación cinco aspectos a tener en cuenta al implementar un servicio privado para el envío de correo empresarial.

1. Aplicar seguridad de extremo a extremo

La protección de los datos debe garantizarse ya sea que estos estén en reposo o fluyendo por la red. Un enfoque sobre la protección del dato en sí, garantizará unaseguridad persistente, sin importar su destino. Soluciones de cifrado que dependen de múltiples tecnologías de codificación y métodos de entrega, terminan inevitablemente dividiendo los mensajes en cierto punto de la red, creando brechas de seguridad a la espera de verse comprometidas, aumentando la complejidad y el costo.
Una solución basada en una única tecnología para todos los escenarios asegura que los datos están protegidos de manera continua. Muchas organizaciones han migrado a un servicio de correo electrónico en la nube, donde es fundamental que la información confidencial se codifique antes de entrar.

2. Mitigar el impacto de posibles vulnerabilidades

El cifrado de datos ayuda a proteger la información sensible cuando existe una vulnerabilidad. Otro enfoque para mitigar el riesgo de las vulnerabilidades y brechas es utilizar una solución que pueda alternar claves privadas cada cierta cantidad de días, lo que limitará significativamente el efecto de una clave privada comprometida. Sólo la información que se cifre durante esa ventana de tiempo estará en riesgo.

3. Diseñar una infraestructura flexible

Implementar una solución con generación dinámica de claves según demanda, eliminando la necesidad de conservar y mantener un almacén de claves. Así, se obtiene una mayor escalabilidad, y la recuperación de desastres se reduce a realizar una copia de seguridad de la clave principal, que puede ser usada para recrear fácilmente un nuevo servidor de claves que pueda generar claves para mensajes pasados y futuros –sin pérdida de datos.
Cada vez que se cifre un correo electrónico, es mejor utilizar siempre el mismo mecanismo de entrega –siguiendo un modelo push hacia la bandeja de entrada existente del destinatario, en lugar de crear una bandeja de entrada separada con el único propósito de mantener una comunicación de correo electrónico seguro.

4. Buscar la usabilidad para remitentes y destinatarios

Implementar una solución que sea fácil de usar, con la libertad de establecer comunicaciones ad-hoc seguras con cualquier persona, sin tener que preocuparse de hacer un intercambio de claves, o si el destinatario tiene un certificado o contraseña compartida. La solución debiese trabajar a través de una gran variedad determinales, incluyendo dispositivos móviles, clientes de correo electrónico y navegadores web –con poco o ningún impacto sobre cómo los remitentes y los destinatarios utilizan el correo electrónico.

5. Facilitar el procesamiento de datos y aplicación de políticas preestablecidas

No debiese ser necesario romper el cifrado, o requerir mucha infraestructura adicional, para aplicar técnicas de escaneo, archivado, o electronicdiscovery. Se debe poder cifrar y descifrar los mensajes en función de las políticas de cumplimiento y enrutamiento de correo, con herramientas y plugins ligeros para apoyar los procesos de negocio existentes.

El correo electrónico, o E- mail (de Electronic Mail), es uno de los servicios más antiguos de Internet. A semejanza del correo tradicional, sirve para enviar o recibir mensajes a/de otras personas. 1 El conocido e-mail o correo electrónico, es probablemente, por la cantidad de tráfico que genera cada día en Internet, el servicio más usado de la Red. Es un sistema de distribución de mensajes entre las personas que están integradas en la Red gracias a unas direcciones electrónicas preestablecidas, como sucede con el correo tradicional, que transporta mensajes entre dos personas de cualquier parte del mundo gracias a unas direcciones físicas establecidas (sus lugares de residencia o de trabajo).  

Un correo electrónico responde a un modelo tipo carta escrita, que contiene remitente, destinatario, asunto, mensaje, y que permite a su vez adjuntar archivos como documentos de texto o imágenes. Para enviar un email sólo hace falta una computadora (u otro dispositivo) con conexión a Internet y un software como puede ser Outlook Express o Gmail para enviar y recibir los correos. El usuario debe contar con una dirección de correo electrónico y un proveedor de correo, que puede ser pago o gratuito y que puede utilizarse como software o directamente en la Web.

Esto hace que comunicarse a distancia en todo el mundo sea mucho más rápido, fácil y barato que hacerlo por otros sistemas como las hoy antiguas cartas.

Este tipo de tecnología se basa en protocolos SMTP, aunque también puede aplicarse a otros sistemas y tecnologías.