Caja de Herramientas Entrevistas Seguridad en la Red

Cómo proteger la correspondencia por E-mail

Continuamos conversando sobre seguridad en la Red con Jens Kubieziel, como ya hicimos en una entrada anterior. En esta ocasión, le preguntamos al experto por lo mucho o poco que podemos fiarnos de correos electrónicos como Gmail y compañía. También quisimos saber cómo comportarse para salvaguardar la información que compartimos vía mail.

DW Akademie: Empecemos por las normas que debería seguir todo usuario de correo electrónico precavido, ¿nos las puede resumir?

Jens Kubieziel: Voy a intentar mencionar las que, desde mi punto de vista, son más importantes.

1. Asegúrate de que tu sistema esté limpio. Si usas tu propia computadora, instala un buen antivirus y mantenlo siempre actualizado. A quienes se vean obligados a trabajar desde lugares públicos como cibercafés, les recomiendo recurrir a un sistema operativo almacenado en un medio extraíble, ya sea un CD o un pen drive.

2. Usa HTTPS. Entra en tu cuenta de mail a través de HTTPS (https://ejemplo.org) y no a través de http. Eso cifra tu conexión y todos los datos que envías a tu servidor de correo electrónico.

3. Elige una contraseña segura. Muchos usuarios optan por claves fáciles como “contraseña” y “123456”, lo que implica un peligro. Comprueba que tuya no mantiene ninguna relación evidente contigo ni con tu entorno. Sitios como éste te dan pistas acerca de lo segura que es tu contraseña.

4. Utiliza la mejor autentificación posible. Google ofrece a sus usuarios la llamada autentificación doble. Eso significa que primero te registras con tu nombre de usuario y contraseña y Google te envía entonces un SMS con un número a tu celular. Sólo el número correcto te da acceso a tu cuenta de correo electrónico.

5. Sé cuidadoso. Antes de abrir cualquier mail procedente de un extraño recuerda que tal vez se trate de un truco para que visites páginas o descargues archivos peligrosos. Páginas como Virus Total examinan la limpieza de documentos adjuntos: más de 40 detectores de virus escanean los archivos y te informan si encuentran alguno oculto.

¿Qué servidor de correo electrónico recomendaría usted?

Siempre que se pueda elegir libremente, yo aconsejo recurrir a correos independientes como riseup.net, que se toman el tema de la seguridad muy en serio. Lo fundamental a mi entender es que el servidor cifre mi tráfico de mails y proteja mis datos. Y que almacene la menor cantidad de información posible. Así, si resulta víctima de un ataque el riesgo para mi esfera privada es mucho menor. Riseup.net y otros similares cumplen con estos requisitos casi a la perfección.

¿Aconseja el uso de clientes de correo electrónico ante los basados en la web interfaz?

Los clientes de correo electrónico tienen muchas ventajas con respecto a webmail. Para empezar, son más prácticos. El cliente descarga todos tus mensajes en la computadora, de manera que puedes trabajarlos también sin conexión, escribir nuevos y mandarlos cuando vuelvas a estar en línea. Además, suelen ser mucho flexibles que un web interfaz: ofrecen más opciones de personalización y encriptar los correos es más sencillo. Y, por lo general, usar un cliente no te impide utilizar webmail, con lo que puedes disfrutar de lo mejor de ambos.

¿Existen complementos útiles de cara a aumentar la seguridad de nuestras comunicaciones?

Sí, hay algunos. Por lo general, yo aconsejo Mozilla Thunderbird como cliente de correo electrónico. Y con éste, el primer complemento que merece la pena tener es Engimail. Es bastante fácil de usar y cifra tus mails siempre que sea posible. Si necesitas mandar mensajes a través de Tor o JonDonym, existe un complemento llamado TorBirdy que se instala sin dificultades y cuenta con algunas opciones estándar muy útiles.

¿Tiene sentido recurrir a servicios como como Hushmail, que supuestamente incrementan el nivel de protección?

Pueden servir en algunas ocasiones. Como dice el informante y exempleado de NSA William Binney, cualquier software de encriptado basado en la web ha de ser considerado como hackeado o hackeable. Para un cifrado fiable es mejor usar un software de instalación local como GnuPG. Considerando esto, un servidor ‘seguro’ que codifica tus mails por ti no vale demasiado. Mucho más importante es que procese tus correos de manera segura y guarde la menor cantidad de datos posible.

En la Red encontramos una amplia oferta de remailers, ¿alguno que merezca la pena?

Mixmaster es uno de los más usados y estables. Mixminion y Cypherpunk tienen puntos débiles y no deberían utilizarse.

Cualquier mensaje que envías con Mixmaster está dividido en una secuencia fija y una cifrada. Al mandarlo, se reparte por varios servidores. Cada servidor puede eliminar sólo una parte del encriptado y, por lo tanto, es incapaz de conocer el contenido completo. El servidor guarda el mail, espera un tiempo aleatorio y lo reenvía también de manera aleatoria. De este modo, es imposible identificar las entradas y salidas de correos del servidor e incluso si un hacker lo ataca, tu seguridad queda preservada siempre y cuando uses más de un remailer.

Jens Kubieziel es capacitador y asesor en cuestiones de seguridad informática. Además de formar a activistas y periodistas en el ámbito de la seguridad en Internet y las formas de evitar la censura, aconseja a organismos estatales acerca del modo de proteger sus redes y sistemas.