En la actualidad nos encontramos con un dilema y grandes dudas cuando nuestra información viaja de un lado a otro a través de Internet. Es como si dijésemos hay que enviarlo a como dé razón y en un dejo de suspiro, ojalá nuestro correo llegue bien.
Por Osvaldo Callegari*
Haciendo memoria en cuanto a los procesos del manejo de la información, en lapsos de tiempo cortos podría decirse que, hasta hace unos 20 años atrás la mayor parte de las comunicaciones epistolares eran por carta por correo postal convencional, se iba a la oficina de correo, se seleccionaba el servicio por el cual enviar el mensaje, acorde a ello según el costo la carta podía ser simple, certificada o expreso. Esta diferencia de valor redundaba en la forma en que se distribuía el servicio.
En la carta simple, como su nombre lo indica se volcaba directamente a un bolsón de transporte que contenía una etiqueta indicando la ciudad de destino, una vez que hacía su arribo el personal la clasificaba en secciones en un mueble que tenía identificaciones por calle y alturas, esto a su vez era retirado por el cartero que era el que hacía la distribución final.
En el caso de la Certificada, de costo intermedio era una carta que se controlaba por medio de un registro el cual se confeccionaba en las oficinas de correo de origen y se enviaba con una planilla de control a la oficina destino, la cual al recibirla hacía el control correcto con la carta en cuestión.
Y por último la versión expreso, esta tenía una alta prioridad y a diferencia de las anteriores su despacho estaba en la primera salida de distribución, salía con el primer tren o camión de reparto disponible, de allí la diferencia en su costo. Las otras dos tenían una demora de uno o dos días por que se esperaba cierta acumulación para no despachar bolsines semivacíos, de aplicarse de otra manera generaba ineficiencia. Toda esta introducción está orientada a mostrar que si bien las formas de comunicarse cambiaron, las metodologías aún se siguen utilizando en la Web.
Con esta analogía nos adentramos en las explicaciones de los procesos que nos acerca GlobalSign de la mano de la gerente de producto Julie Olenski en el eBook Seguridad de Correo Electrónico el uso de Firmas Digitales y Cifrado, para entender como aplica lo que decíamos antes en los correos electrónicos.
Los negocios y el correo electrónico.
¿Puede imaginarse haciendo negocios sin correo electrónico? La conveniencia y la comunicación instantáneaprodujeron que la comunicación electrónica sea un componente esencial en el día a día en los negocios.
Arriba de 100 billones de correos electrónicos relacionados a actividades comerciales son enviados y recibidos diariamente. Se destacan cada vez más los beneficios pero a su vez existen potenciales riesgos.
Los hackers son cada vez más hábiles en el proceso de interceptación de mensajes, sus principales objetivos son conseguir información confidencial o falsificación de dichos envíos (conocido ampliamente como spoofing) con la intención de direccionar a sitios webs que permitan el uso de descargas maliciosas (Phising) para el robo de información.
Afortunadamente, hay algunas soluciones para correo electrónico que pueden ayudar a las empresas o usuarios a paliar estas amenazas.
Las firmas digitales de correo electrónico y el cifrado garantizan la privacidad del mensaje y evitan que la información confidencial caiga en las manos equivocadas. A la vez le asegura al receptor que el correo en verdad proviene de usted y que este no ha sido alterado desde que fue enviado.
Seguridad de los correos electrónicos
Esta guía radica principalmente en la necesidad de la seguridad para el correo electrónico en las organizaciones modernas. Nosotros nos enfocaremos en los riesgos de usar correos electrónicos, exploraremos como firmar digitalmente y encriptar los mensajespueden ayudar a reducir estos riesgos, explicaremos también como usted debe firmar y cifrar los correos electrónicos.
Seguridad de los correos electrónicos, firmas digitales y cifrado
El correo electrónico es conveniente, pero a su vez posee riesgos. Miremos deforma más detallada dos de las principales amenazas a las que se enfrentan la organización y los usuarios finales.
Pérdida de la información
El correo electrónico es una herramienta de la cual dependemos diariamente. Asu vez es muy fácil enviar información confidencial a otra persona, poniendo en riesgo que esta información caiga en manos equivocadas.
El 53% de los empleados ha recibido información confidencial de su empresa de manera no cifrada vía correo electrónico o como documento adjunto en un mensaje de correo. 21% de los empleados reportaron el envío de información confidencial sin cifrar.
Los costos de la perdida de la información son asombrosos, sin mencionar eldaño que esto le hace a la reputación de la compañía y las repercusiones legalespor violar las regulaciones relacionadas a la transmisión y el almacenamiento dela información sensitiva (Por ejemplo HIPPA, FIPPA, PCI). 2 % de las compañías experimenta perdida de información mediante correo electrónico cada año. 3.5 Millones de dólares es el costo promedio de un ataque a la información de una compañía.
Uso de firmas digitales y cifrado
Falsificación de correos (Email spoofing) / Phishing: El envío de coreos electrónicos desde una falsa dirección, es llamado spoofing de correo electrónico, uno de los métodos más populares parallevar a cabo un ataque de phishing.
Un hacker falsificará un email para que parezcaque se trata de una compañía legítima (Por ejemplo un Banco) por lo general con laintención de engañar a los destinatarios para que descarguen malware o entreninformación confidencial en un sitio web falso, al cual el hacker podrá acceder, es lo que se conoce por phishing.
El phishing es una amenaza creciente para las organizaciones modernas.
1/392Es la frecuencia de los ataques de phishing en correos electrónicos.-
300% Es la tasa de crecimiento de correos electrónicos quecontienen phishing en el último año
Los hackers son cada vez más hábiles en hacerse pasar por otras organizaciones.Incluso personas con altos conocimientos en seguridad pueden ser estafados por un correo electrónico bien elaborado que contiene phishing.
33% de los ejecutivos de las compañías Fortune500 han caído en trampas de correos de phishing.
Como ayudan a mitigar estas amenazas las firmas digitales y los procesos de encriptación.
La firma digital y el cifrado de correos electrónicos sonuna forma fácil de asegurar la privacidad de la información confidencial, comprobar el origen del correo y prevenir la manipulación del contenido.
¿Qué es un certificado digital?
Usted necesita un certificado digital para firmar digitalmente y cifrar un correoelectrónico, por lo cual creemos que lo mejor es comenzar entendiendo susignificado.
Los certificados digitales pueden ser usados para una variedad decasos, incluyendo SSL y firma de documentos, pero por motivos de simplicidad nos enfocaremos en cómo estos aplican para la seguridad de los correos.
Usted puede pensar en un certificado digital como una especie de pasaportevirtual – una manera de verificar su identidad en transacciones en línea. Asícomo su Gobierno local necesita verificar la identidad antes de otorgarle un pasaporte, una entidad de verificación conocida como Autoridad Certificadora(AC) necesita validar cierta información antes de emitir certificados digitales. El certificado es único para cada persona, siendo usado para firmar correoselectrónicos, es una forma para que usted verifique que el mensaje en realidadproviene de usted.
¿Qué es S/MIME?
Es posible que usted haya escuchado el termino S/MIME cuando estababuscando información sobre firmas de correo electrónicos y cifrado. S/MIME, oSegura/ Extensión de Multipropósito para Correo de la Internet, es el estándar enla industria para el cifrado de llave pública para información basada en MIME, S/MIME ofrece dos funciones de seguridad de correo electrónico:
• Firmas Digitales
• Cifrado
Miremos de forma más detallada lo que cada uno de estos componentes ofrece.
¿Qué es una firma Digital?
La aplicación de una firma digital a un correo electrónico es muy similar a la viejatradición de utilizar un sello de cera cuando se enviaban cartas. El destinatariode la carta sabía quien envió la carta debido al uso del sello único. Cuando usted usa su certificado emitido por una Autoridad Certificadora para verificar la firmade correo electrónico, el destinatario sabe que el correo electrónico realmenteviene de usted.
¿Por qué debo firmar digitalmente mis correos electrónicos?
Cuando usted firma digitalmente un correo electrónico, una operacióncriptográfica enlaza su certificado digital y el contenido del correo electrónicoen una huella digital única. La singularidad de los dos componentes de la firma su certificado y el contenido del correo electrónicoofrece los siguientesbeneficios en seguridad:
Único a la persona que firma
Autenticación – cuando su certificado (validado por una AutoridadCertificadora) es usado para firmar un correo, los destinatarios tendrán la seguridad de que fue usted quien firmó el documento. Confirmando
su identidad
Único al documento
Integridad en el mensaje – Cuando la firma es verificada, esta confirmaque el contenido del correo electrónico en el momento de la verificaciónsea igual al que estaba en el momento en el cual la firma fue aplicada. Hasta el cambio más mínino del contenido en el documento originalcausará que esta parte falle.
¿Por qué debo cifrar mis correos electrónicos?
Cifrar un correo electrónico es como sellar su mensaje en una caja de seguridada la cual solo el destinatario tiene acceso. Cualquier persona que intercepte el mensaje, ya sea en tránsito o en el servidor donde se encuentre almacenado, noserá capaz de ver el contenido.
El cifrado de correos electrónicos ofrece los siguientes beneficios en seguridad:
Confidencialidad – debido a que el proceso de cifrado requiereinformación particular del remitente y de los destinatarios, solo ellospueden ver los contenidos no cifrados.
Integridad del Mensaje - Parte del proceso de descifrado implica laverificación del contenido del correo cifrado original y el nuevo correodescifrado, estos deben de ser iguales. Incluso el mas mínimo cambio en elmensaje original causará que el proceso de descifrado falle.
Nota: el cifrado por sí solo no proporciona ninguna información sobre el remitentedel mensaje. Recomendamos siempre incluir una firma digital cuando cifre uncorreo electrónico para probar la identidad del remitente.
¿Qué necesito para firmar digitalmente ycifrar correos electrónicos?
1. Un certificado digital emitido por una Autoridad Certificadora compatiblecon S/MIME.
2. Un proveedor de correo electrónico compatible con S/MIME. La mayoría delos proveedores de correos electrónicos soportan S/MIME incluyendo:
• Microsoft Outlook
• Thunderbird
• Apple Mail
• Lotus Notes
• Mulberry Mail
Los productos y marcas mencionadas son marcas registradas de sus respectivos autores.
Usted puede contactar a GlobalSign para mayor información acerca de estas soluciones: www.globalsign.com|[email protected]
Referencias.
1 Email Statistics Report 2013-2017, TheRadicati Group, Inc.
2 SilverSky Email Security Habits Survey Report, SilverSky, 2013
3 Best Practices in Email, Web, and Social Media Security, Osterman Research,
Inc., January 2014
4 Global Cost of Data Breach Study, Ponemon Institute, 2014
5 Internet Security Threat Report, Volume 19, Symantec, 2014
6 Spam Statistics Report, Kaspersky Lab, Quarter 3 2013
7 A Security Officer Debate: Are simulated phishing attacks an effective
approach to security awareness and training?, Wombat Security Technologies
8 Seguridad de Correo electrónico, El uso de Firmas Digitales y Cifrado, GlobalSign Latinoamérica 2015
Agradecimientos al Equipo de GlobalSign encabezado por su directora Laila Robakpor el aporte a esta investigación.
*Para comunicarse con el autor de este artículo escriba a [email protected]
No hay ideas en “¿Cuán seguras son las comunicaciones por internet? (I)”
-
Un importante componente de seguridad tendrá Integratec México 2024
México. La Feria Integratec México, especializada en tecnologías para la integración de sistemas de bajo voltaje, y que se realizará el 14 y 15 de agosto en el World Trade...
-
Representante de Oaxaca se alza con el triunfo en el primer Dahua Legend
México. La compañía Dahua México llevó a cabo la gran final de su nuevo concurso, en el cual los participantes miden sus habilidades para la integración de soluciones de...
-
Alai Secure anuncia su participación en Seguri Expo Ecuador
Ecuador. La compañía Alai Secure dio a conocer que participará como ponente y expositora en la feria internacional, a realizarse del 9 al 10 de mayo en el centro de...
-
Hikvision y Can'nX trabajarán en automatización de edificios basada en KNX
Internacional. El fabricante Hikvision anunció una asociación tecnológica con Can'nX, la cual permitirá que las tecnologías de Hikvision se integren con el protocolo KNX,...
-
Desarrollan proyecto de videovigilancia en Bermuda
Bermuda. De acuerdo con Nino Armando Vaprio, general manager de Servicios Tácticos de Seguridad, la integración asimétrica implementada permite que esta iniciativa tenga un...
-
Autoridades colombianas articulan acciones frente a la ciberdelincuencia
Colombia. La Policía Nacional y el Ministerio de Tecnologías de la Información y las Comunicaciones anunciaron que definieron una serie de acciones conjuntas para combatir...
-
“Tengo energía, pasión y experiencia”: Jason Souza, nuevo ejecutivo de Genetec
Latinoamérica. Entrevistamos al recién nombrado Managing Director para Latinoamérica y El Caribe de Genetec, Jason Souza.
-
Desico se integra al Grupo Casmar
Internacional. La empresa de ingeniería de proyectos de automatización y control para el mercado de la seguridad ha sido adquirida por el Grupo Casmar, compañía española de...
-
Aumento de visitas a Expo Seguridad México colma expectativas y alcanza el 15%
México. Unos 24.000 metros cuadrados del Centro Citibanamex albergaron durante tres días las más recientes ediciones de Expo Seguridad México (ESM) y Expo Seguridad...
-
Nuevo presidente de ALAS, Manuel Zamudio, habla para Ventas de Seguridad
Latinoamérica. El ejecutivo cuenta en su haber con más de 25 años vinculado a la Asociación Latinoamericana de Seguridad, en cuyo seno ha fungido como instructor,...
-
Inauguran Tecnosinergia Express Plus en Ciudad de México
México. Ubicada en la Avenida Marina Nacional, alcaldía Miguel Hidalgo, la nueva tienda de Tecnosinergia fue construida bajo un concepto innovador que reúne, en un solo...
-
Siasa distribuirá la tecnología HID Vento en la región
Latinoamérica. El distribuidor mayorista de tecnología de seguridad Siasa anunció el refuerzo de su asociación comercial con el fabricante HID Global, para comercializar su...
-
SECO-LARM desarrolla una nueva cerradura universal para puerta de perfil bajo
Internacional. Con solo una pulgada (26 mm) de profundidad, este cerrojo de SECO-LARM ofrece una solución compacta para marcos de puertas de metal y madera, adaptándose...
-
Asis lanzó un nuevo marco integral para evaluar riesgos de seguridad
Internacional. El ASIS Security Risk Assessment (SRA) proporciona una descripción general completa de cómo realizar la evaluación y gestión de los riesgos de seguridad en...
-
Morse Watchmans presenta innovaciones para control de claves y gestión de inventario
Internacional. Recientemente, Morse Watchmans ha participado en varias ferias internacionales, donde ha exhibido productos como el nuevo EKG de agarre de llaves de...
Deje su comentario