El correo electrónico se inventó en 1971 y ha cambiado muy poco desde entonces. Durante este tiempo, ha logrado convertirse en un riesgo de seguridad importante para las personas, los gobiernos y las empresas privadas de todo el mundo. Esto podría explicar la creciente popularidad de los llamados proveedores de «correo electrónico seguro».
Entonces, ¿qué diferencia exactamente los correos electrónicos seguros de los correos electrónicos regulares?
¿Qué es el correo electrónico seguro y cifrado?
El correo electrónico seguro es esencialmente un correo electrónico normal con algunas mejoras de seguridad adicionales. La tecnología detrás de escena es, en última instancia, la misma, lo que significa que ya sabe cómo utilizar un proveedor de correo electrónico seguro. Siempre envía mensajes a direcciones nombradas con una @ y un dominio, y aún recibe mucho spam.
Por esta razón, cualquiera puede considerarse un proveedor de correo electrónico seguro. No existe una definición de diccionario, y la mayoría de los principales proveedores de correo electrónico, como Gmail y Outlook, también se considerarían «seguros», aunque se quedan cortos.
La mayoría de los proveedores que usan este término para describir su servicio van más allá de requerir una contraseña segura o usar autenticación de dos factores. La seguridad, en este sentido, no se trata solo de evitar que alguien acceda a su cuenta, también se trata de proteger sus datos e identidad.
Un proveedor de correo electrónico verdaderamente seguro no puede leer sus conversaciones de correo electrónico. Idealmente, deberían estar ubicados en una jurisdicción que no esté sujeta al intercambio de datos entre agencias de inteligencia. Lo ideal sería que la tecnología en sí se basara en estándares abiertos para un enfoque de seguridad de “colaboración colectiva”. El servicio no debe perfilarlo, publicar anuncios personalizados ni registrar metadatos.
Esta es la razón por la que Gmail, Outlook, Yahoo y la mayoría de los demás proveedores de correo electrónico gratuitos y tradicionales no se consideran verdaderamente seguros. Un proveedor de correo electrónico seguro es «mejor» que Gmail en lo que respecta a la seguridad de los datos, pero se perderá las amplias funciones e integraciones de Google. Deje que sus prioridades decidan cuál es la mejor opción.
¿Cómo lo protegen los proveedores de correo electrónico seguro?
El cifrado de extremo a extremo es esencial para crear un sistema de mensajería verdaderamente seguro. Si bien los servicios como Gmail encriptan la conexión entre su computadora y el servidor, toda la información que envía al servidor (incluido el contenido de sus mensajes) no está encriptada cuando llega allí.
Cualquier conversación privada (o secreto de estado) que discuta se almacenará en los servidores de Google en un formato no cifrado. Si se roban estos datos, por ejemplo, durante una fuga de datos, no es necesario descifrarlos antes de poder leerlos. Un proveedor seguro cifrará los datos en el servidor, dejándolos inútiles para terceros.
La falta de cifrado de extremo a extremo significa que los proveedores de correo electrónico pueden acceder al contenido de sus mensajes, y han utilizado este acceso en el pasado. Google analizó previamente el contenido de los mensajes de Gmail con fines publicitarios, pero dejó de practicar en 2017. La compañía continuó analizando correos electrónicos para impulsar servicios como (ahora desaparecido) Google Now. ¿De qué otra manera el Asistente de Google podrá recordarle el viaje que ha planeado?
La ubicación de estos servidores también puede tener un impacto en cómo se manejan estos datos. Como es el caso de las VPN, los servicios de correo electrónico más seguros suelen estar ubicados en países remotos o históricamente neutrales. ProtonMail, por ejemplo, se encuentra en Suiza, donde las leyes de privacidad son notoriamente estrictas.
Los servicios de mensajería ubicados en los Estados Unidos pueden ser impugnados ante los tribunales para entregar datos. Estados Unidos es parte del Cinco ojos Intelligence Alliance, junto con Australia, Canadá, Reino Unido y Nueva Zelanda. Los datos se transmiten regularmente entre diferentes autoridades en diferentes jurisdicciones bajo el pretexto de la seguridad nacional.
El tipo de datos guardados con su correo electrónico también puede decir mucho sobre usted. Los metadatos son «datos sobre datos», como las marcas de tiempo en un correo electrónico o la «firma» del agente de usuario que deja el navegador que está utilizando. No crea metadatos conscientemente, pero sirve como un rastro de papel para casi todo lo que hace en línea.
Los servicios de correo electrónico seguro se asegurarán de eliminar tantos metadatos como sea posible del correo electrónico enviado. Esto hace que sea más difícil rastrear el origen de un mensaje y protege aún más la identidad de la persona que lo envía.
Algunos proveedores de mensajería segura también integran herramientas como Pretty Good Privacy (o PGP para abreviar) en sus interfaces. PGP le permite «bloquear» el contenido de un mensaje para que solo pueda ser leído por alguien con la clave privada correcta. Cuando se configura correctamente, su correo electrónico se verá normal, en texto legible y sin cifrar. Si alguien sin la clave interceptara el mensaje, sonaría como un galimatías.
Finalmente, hay un argumento para crear productos centrados en la seguridad en software de código abierto. El código fuente que se ha hecho público se puede probar de una manera que el código fuente cerrado no puede.
¿Qué servicio de mensajería segura es el mejor?
No existe un enfoque único para proteger el correo electrónico. Hay muchos proveedores diferentes, todos ofrecen diferentes niveles de seguridad a diferentes precios. El presupuesto es algo que probablemente deba considerar, ya que la mayoría de los servicios no ofrecen una opción gratuita generosa como Gmail o Outlook.com.
ProtonMail (cuenta gratuita disponible) es uno de los proveedores de cifrado más conocidos y maduros. Los datos se cifran en servidores ubicados en Suiza, y la empresa realiza auditorías para garantizar que los usuarios puedan confiar en sus protecciones. El servicio se basa en tecnología de código abierto y hay una aplicación móvil dedicada para iPhone y Android (pero desafortunadamente no hay soporte para aplicaciones de mensajería por defecto).
Tutanota (cuenta gratuita disponible) es otro proveedor de correo electrónico seguro altamente recomendado, con un conjunto de funciones (y auditoría) similar a ProtonMail. Los servidores están ubicados en Alemania (la empresa tiene explicar por qué), y el servicio se basa en muchas bases de código abierto. Existe una advertencia similar con el acceso móvil en el sentido de que debe usar una aplicación dedicada para descifrar su correo electrónico.
Posteo (sin cuentas gratuitas) también se encuentra en Alemania y se ha hecho un nombre como una alternativa más barata a ProtonMail y Tutanota. Todo está encriptado de un extremo a otro, con soporte para la implementación de PGP para brindar mayor tranquilidad. Tampoco es necesario tener un nombre, una dirección de correo electrónico de respaldo u otras credenciales para crear una cuenta.
Hay muchos otros proveedores de correo electrónico seguro para elegir (demasiados para enumerarlos aquí), incluidos Mailfence, buzón.org, Fastmail, y Contador de correo. Debe pensar seriamente en qué servicio de correo electrónico seguro elige, tal como lo haría si eligiera una VPN.
Es mejor elegir un proveedor establecido con una sólida formación dada la naturaleza de este tipo de servicio. Uno de esos proveedores con sede en Islandia, llamado UnSeen, desapareció sin dejar rastro a fines de 2020, solo para reaparecer con un nombre de dominio taiwanés, lo que llevó a todo tipo de especulaciones y desconfianza.
¿Necesita un proveedor de correo electrónico seguro?
Si necesita un proveedor de correo electrónico seguro, probablemente ya lo conozca. Quizás eres periodista y te preocupa que las citaciones expongan fuentes y documentos privados. Quizás seas el próximo Edward Snowden.
Para la mayoría de las personas, probablemente no sea necesario un proveedor de correo electrónico seguro. Le dará tranquilidad a costa de algunas funciones, conveniencia y dinero. Su proveedor de correo electrónico no podrá ver el contenido de sus mensajes y será más fácil comunicarse con las personas gracias al cifrado de extremo a extremo. (Por supuesto, puede usar Signal para comunicarse con cifrado de extremo a extremo). Si vale la pena, depende de usted.
Pero si su principal motivación es la seguridad, comprenda que es más probable que sea víctima de ataques de ingeniería social como violaciones de datos de correo electrónico.