En la actualidad nos encontramos con un dilema y grandes dudas cuando nuestra información viaja de un lado a otro a través de Internet.  Es como si dijésemos hay que enviarlo a como dé razón y en un dejo de suspiro,  ojalá nuestro correo llegue bien.
 
Por Osvaldo Callegari*
 
Haciendo memoria en cuanto a los procesos del manejo de la información, en lapsos de tiempo cortos podría decirse que, hasta hace unos 20 años atrás la mayor parte de las comunicaciones epistolares eran por carta por correo postal convencional,  se iba a la oficina de correo, se seleccionaba el servicio por el cual enviar el mensaje, acorde a ello según el costo la carta podía ser simple, certificada o expreso.  Esta diferencia de valor redundaba en la forma en que se distribuía el servicio.  
 
En la carta simple, como su nombre lo indica se volcaba directamente a un bolsón de transporte que contenía una etiqueta indicando la ciudad de destino, una vez que hacía su arribo el personal la clasificaba en secciones en un mueble que tenía identificaciones por calle y alturas, esto a su vez era retirado por el cartero que era el que hacía la distribución final.   
 
En el caso de la Certificada, de costo intermedio era una carta que se controlaba por medio de un registro el cual se confeccionaba en las oficinas de correo de origen y se enviaba con una planilla de control a la oficina destino, la cual al recibirla hacía el control correcto con la carta en cuestión.
 
Y por último la versión expreso, esta tenía una alta prioridad y a diferencia de las anteriores su despacho estaba en la primera salida de distribución, salía con el primer tren o camión de reparto disponible, de allí la diferencia  en su costo.  Las otras dos tenían una demora de uno o dos días por que se esperaba cierta acumulación para no despachar bolsines semivacíos, de aplicarse de otra manera generaba ineficiencia.    Toda esta introducción está orientada a mostrar que si bien las formas de comunicarse cambiaron, las metodologías aún se siguen utilizando en la Web.
 
Con esta analogía nos adentramos en las explicaciones de los procesos que nos acerca GlobalSign de  la mano de la gerente de producto Julie Olenski en el eBook Seguridad de Correo Electrónico el uso de Firmas Digitales y Cifrado,  para entender como aplica lo que decíamos antes en los correos electrónicos.
 
Los negocios y el correo electrónico.
¿Puede imaginarse haciendo negocios sin correo electrónico? La conveniencia y la comunicación instantáneaprodujeron que la comunicación electrónica sea  un  componente esencial en el  día a día en los negocios.
 
Arriba de 100 billones de correos electrónicos relacionados a actividades  comerciales son enviados y recibidos diariamente. Se destacan cada vez más los beneficios pero a su vez existen potenciales riesgos.
 
Los hackers son cada vez más hábiles en el proceso de interceptación de mensajes, sus principales objetivos son conseguir información confidencial o falsificación de dichos envíos (conocido ampliamente como spoofing) con la intención de direccionar a sitios webs que permitan el uso de descargas maliciosas (Phising) para el robo de información.
 
Afortunadamente, hay algunas soluciones para correo electrónico  que pueden ayudar a las empresas o usuarios a paliar estas amenazas. 
 
Las firmas digitales de correo electrónico y el cifrado garantizan la privacidad del mensaje y evitan que la información confidencial caiga en las manos equivocadas.  A la vez  le asegura al receptor que el correo en verdad proviene de usted y  que este no ha sido alterado desde que fue enviado. 
 
Seguridad de los correos electrónicos
Esta guía radica principalmente en  la necesidad de la seguridad para el  correo electrónico en las organizaciones modernas. Nosotros nos  enfocaremos en los riesgos de usar correos electrónicos, exploraremos como firmar digitalmente y encriptar los mensajespueden ayudar a reducir estos riesgos, explicaremos también como  usted debe firmar y cifrar los correos electrónicos.  
 
Seguridad de los correos electrónicos, firmas digitales y cifrado
El correo electrónico es conveniente, pero a su vez posee riesgos. Miremos deforma más detallada dos de las principales amenazas a las que se enfrentan la organización y los usuarios finales.
 
Pérdida de la información
El correo electrónico es una herramienta de la cual dependemos diariamente. Asu vez es muy fácil enviar información confidencial a otra persona, poniendo en riesgo que esta información caiga en manos equivocadas.
 
El 53% de los empleados ha recibido información confidencial de su empresa de manera no cifrada vía correo electrónico o como documento adjunto en un mensaje de correo. 21% de los empleados reportaron el envío de información confidencial sin cifrar.
 
Los costos de la perdida de la información son asombrosos, sin mencionar eldaño que esto le hace a la reputación de la compañía y las repercusiones legalespor violar las regulaciones relacionadas a la transmisión y el almacenamiento dela información sensitiva (Por ejemplo HIPPA, FIPPA, PCI).  2 % de las compañías experimenta perdida de información mediante correo electrónico cada año. 3.5 Millones de dólares es el costo promedio de un ataque a la información de una compañía.

Uso de firmas digitales y cifrado
Falsificación de correos (Email spoofing) / Phishing: El envío de coreos electrónicos desde una falsa dirección, es llamado spoofing de correo electrónico, uno de los métodos más populares parallevar a cabo un ataque de phishing. 
 
Un hacker falsificará un email para que parezcaque se trata de una compañía legítima (Por ejemplo un Banco) por lo general con laintención de engañar a los destinatarios  para que descarguen malware o entreninformación confidencial en un sitio web falso, al cual el hacker podrá acceder, es lo que se conoce por phishing.
El phishing es una amenaza creciente para las organizaciones modernas.
1/392Es la frecuencia  de los ataques de phishing en correos electrónicos.-
300% Es la tasa de crecimiento de correos electrónicos quecontienen phishing en el último año
 
 
Los hackers son cada vez más hábiles en hacerse pasar por otras organizaciones.Incluso personas con altos conocimientos en seguridad pueden ser estafados por un correo electrónico bien elaborado que contiene phishing.
 
33% de los ejecutivos de las compañías Fortune500 han caído en trampas de correos de phishing.
 
Como ayudan a mitigar estas amenazas las firmas digitales y los procesos de encriptación.
La firma digital y el cifrado de correos electrónicos sonuna forma fácil de asegurar la privacidad de la información confidencial, comprobar el origen del correo y prevenir la manipulación del contenido.
 
¿Qué es un certificado digital?
Usted necesita un certificado digital para firmar digitalmente y cifrar un correoelectrónico, por lo cual creemos que lo mejor es comenzar entendiendo susignificado. 
 
Los certificados digitales pueden ser usados para una variedad decasos, incluyendo SSL y firma de documentos, pero por motivos de simplicidad nos enfocaremos en cómo estos aplican para la seguridad de los correos.
 
Usted puede pensar en un certificado digital como una especie de pasaportevirtual – una manera de verificar su identidad en transacciones en línea. Asícomo su Gobierno local necesita verificar la identidad antes de otorgarle un pasaporte, una entidad de verificación conocida como Autoridad Certificadora(AC) necesita validar cierta información antes de emitir certificados digitales. El certificado es único para cada persona, siendo usado para firmar correoselectrónicos, es una forma para que usted verifique que el mensaje en realidadproviene de usted.
 
¿Qué es S/MIME?
Es posible que usted haya escuchado el termino S/MIME  cuando estababuscando información sobre firmas de correo electrónicos y cifrado. S/MIME, oSegura/ Extensión de Multipropósito para Correo de la Internet, es el estándar enla industria para el cifrado de llave pública para información basada en MIME, S/MIME ofrece dos funciones de seguridad de correo electrónico:
 
• Firmas Digitales
 
• Cifrado
 
Miremos de forma más detallada lo que cada uno de estos componentes ofrece.
 
¿Qué es una firma Digital?
La aplicación de una firma digital a un correo electrónico es muy similar a la viejatradición de utilizar un sello de cera cuando se enviaban cartas. El destinatariode la carta sabía quien envió la carta debido al uso del sello único. Cuando usted usa su certificado emitido por una Autoridad Certificadora para verificar la firmade correo electrónico, el destinatario sabe que el correo electrónico realmenteviene de usted.
 
¿Por qué debo firmar digitalmente mis correos electrónicos?
Cuando usted firma digitalmente un correo electrónico, una operacióncriptográfica enlaza su certificado digital y el contenido del correo electrónicoen una huella digital única. La singularidad de los dos componentes de la firma su certificado y el contenido del correo electrónicoofrece los siguientesbeneficios en seguridad:
 
Único a la persona que firma
Autenticación  – cuando su certificado (validado por una AutoridadCertificadora) es usado para firmar un correo, los destinatarios tendrán la seguridad de que fue usted quien firmó el documento. Confirmando
su identidad
Único al documento
Integridad en el mensaje – Cuando la firma es verificada, esta confirmaque el contenido del correo electrónico en el momento de la verificaciónsea igual al que estaba en el momento en el cual la firma fue aplicada.  Hasta el cambio más mínino del contenido en el  documento originalcausará que esta parte falle.
 
 
¿Por qué debo cifrar mis correos electrónicos?
Cifrar un correo electrónico es como sellar su mensaje en una caja de seguridada la cual solo el destinatario tiene  acceso. Cualquier persona que intercepte el mensaje, ya sea en tránsito o en el servidor donde se encuentre almacenado, noserá capaz de ver el contenido.
 
El cifrado de correos electrónicos ofrece los siguientes beneficios en seguridad:
Confidencialidad – debido a que el proceso de cifrado requiereinformación particular del remitente y de los destinatarios, solo ellospueden ver los contenidos no cifrados.
 
Integridad del Mensaje -  Parte del proceso de descifrado implica laverificación del contenido del correo cifrado original y el nuevo correodescifrado, estos deben de ser iguales. Incluso el mas mínimo cambio en elmensaje original causará que el proceso de descifrado falle.
 
Nota: el cifrado por sí solo no proporciona ninguna información sobre el remitentedel mensaje. Recomendamos siempre incluir una firma digital cuando cifre uncorreo electrónico para probar la identidad del remitente.
 
¿Qué necesito para firmar digitalmente ycifrar correos electrónicos?
 
1. Un certificado digital emitido por una Autoridad Certificadora compatiblecon S/MIME.
2. Un proveedor de correo electrónico compatible con S/MIME. La mayoría delos proveedores de correos electrónicos soportan S/MIME incluyendo:
 
• Microsoft Outlook
• Thunderbird
• Apple Mail
• Lotus Notes
• Mulberry Mail
 
Los productos y marcas mencionadas son marcas registradas de sus respectivos autores.
Usted puede contactar a GlobalSign para mayor información acerca de estas soluciones: www.globalsign.com|contacto@globalsign.com
 
Referencias.
1 Email Statistics Report 2013-2017, TheRadicati Group, Inc.
2 SilverSky Email Security Habits Survey Report, SilverSky, 2013
3 Best Practices in Email, Web, and Social Media Security, Osterman Research,
Inc., January 2014
4 Global Cost of Data Breach Study, Ponemon Institute, 2014
5 Internet Security Threat Report, Volume 19, Symantec, 2014
6 Spam Statistics Report, Kaspersky Lab, Quarter 3 2013
7 A Security Officer Debate: Are simulated phishing attacks an effective
approach to security awareness and training?, Wombat Security Technologies
8 Seguridad de Correo electrónico, El uso de Firmas Digitales y Cifrado, GlobalSign Latinoamérica 2015 
 
Agradecimientos al Equipo de GlobalSign encabezado por su directora Laila Robakpor el aporte a esta investigación.
 
*Para comunicarse con el autor de este artículo escriba a Osvaldo.callegari@usa.com
 
 
 
 
 
 
Santiago Jaramillo
Author: Santiago Jaramillo
Editor
Comunicador social y periodista con más de 15 años de trayectoria en medios digitales e impresos especializados para América Latina. Actualmente Editor de las revistas Ventas de Seguridad, Gerencia de Edificios y Coordinador académico del Congreso TecnoEdificios.

OTRAS NOTICIAS

article thumbnailHoneywell La nueva línea de detectores de humo por proyección de haz OSID-RI con la tecnología de Xtralis, cuenta con características que hacen la...
article thumbnailJohnson Controls La actualización de la reconocida plataforma de seguridad integrada Intevo en sus versiones Advanced y Compact ahora cuenta con...
article thumbnailPlatinum Tools El nuevo sistema de acoplador RJ45 impermeable está certificado con IP67 para las duras condiciones ambientales que se encuentran...
article thumbnailInternacional. Milestone Systems anunció el lanzamiento de un nuevo paquete de actualización Device Pack 10.1 de su solución Xprotect, dirigida para...
article thumbnailInternacional. Axis Communications anunció que durante el año 2018 alcanzó en ventas cerca de US$1,1 mil millones, lo que representa un crecimiento del...
article thumbnailInternacional. Con el propósito de mejorar la puerta de ingreso y prevenir amenazas potenciales, el centro de investigación británico Pharm Research...
article thumbnailLatinoamérica. LAR – Latin America Repgroup, representación de fábricas de la industria de la seguridad electrónica en América Latina, anunció la firma...
article thumbnailInternacional. Dahua Technology dio a conocer que fue el proveedor de una serie de soluciones de seguridad para el Centro Olímpico e Internacional de...
article thumbnailEstados Unidos. El presidente Donald Trump firmó el pasado lunes 18 de febrero una orden ejecutiva para que el gobierno de EE.UU. priorice la...
article thumbnailEstados Unidos. ADT Inc. anunció la adquisición de LifeShield, LLC, una empresa de sistemas inalámbricos avanzados de seguridad doméstica, en una...