El Correo Electrónico

El e-mail es la aplicación más intensivamente usada de Internet, se calcula que el año pasado se enviaron 1.1 trillones de e-mail (Forum IEEE abril 2001) lo que indica la importancia que ha adquirido esta forma de comunicarse en la última década.

Sin embargo, la mayoría de la gente que usa este medio para comunicarse no se da cuenta de que sus características son fundamentalmente distintas del correo tradicional, tal como lo conocimos antes y se despreocupan de los varios problemas de seguridad asociados al correo electrónico.

El problema más obvio es la falta de confidencialidad: la mayoría de las personas piensan que con el solo hecho de disponer de una contraseña ellos son los únicos que tiene acceso a su casilla y a los mensajes que envían y reciben. Nada más lejos de la verdad pues estas contraseñas no son ninguna barrera para el personal técnico y -en general- para cualquiera que tenga acceso medianamente libre a los servidores y esto incluye a bastante gente. Así, la diferencia entre una carta y un e-mail es la misma que cuando enviamos en sobre cerrado o en una postal sin sobre, donde todo el personal de los correos y los carteros tienen libre acceso para ver el contenido de nuestra comunicación. . Según lo expresa un manual de contrainteligencia emitido por las autoridades en USA: "Cuando usted intercambia un e-mail con un colega, puede parecer como si se tratase de una conversación privada. Sin embargo legal y tecnológicamente ustedes están igual de expuestos que los tontos en la vitrina de una tienda. La informacón clasificada no debe ser enviada nunca por via e-mail, mientras que la información sensitiva pero no clasificada debe encriptarse antes del envío siempre que sea prácticamente posibe"

Es importante notar que no solo en la practica no existe tal privacidad, sino que además no existe ninguna protección legal como si ocurre en las cartas o conversaciones telefónicas: leer un e-mail destinado a otro no es un delito como si lo es la violación de correspondencia o la escucha telefónica.

Infidencias accidentales

Otra clase de problemas que surgen con el correo electrónico es la posibilidad de enviar por equivocacion información a un destinatario distinto del original, o bien que el destinatario original disemine inadvertidamente la información a un medio público como puede ser un newsgroup por ejemplo. El hecho de que los programas cliente de correo lo sean también en muchos casos clientes de news (como ocurre en Outlook Express por ejemplo) aumenta el riesgo de estas infidencias accidentales.

Propagación de virus

Otro de los riesgos de seguridad obvios en el e-mail es la propagación de virus y troyanos. Los virus pueden propagarse por los siguientes mecanismos:

  • Archivos .exe adjuntos: virus y troyanos
  • Archivos del Office (Word, Excel, Power Point, etc.): virus de macros
  • Archivos script: virus de macros
  • Código Html malicioso

Frente a la amenaza de los virus hay dos posibles estrategias: mantener instalados antivirus reconocidos y actualizarlos constantemente o bien seguir prácticas cuidadosas de manejo de los archivos adjuntos. Yo he optado por la segunda alternativa en vista de la incomodidad de actualizar constantemente los antivirus y la baja de rendimiento que todos ellos introducen al trabajar on-line, pero en equipos con información crítica lo más recomendable es una combinación de ambas medidas.

Persistencia de los mensajes

Otro de los problemas de seguridad que presenta el e-mail es la persistencia, esto es, la cantidad de tiempo que quedan almacenados aun después de ser borrados del disco duro, ya sea en archivos temporales o en archivos ocultos dentro del programa cliente de correo. También se da el caso de mensajes que quedan "rebotando" entre muchos servidores, por no haber encontrado disponible la direción de destino, todo esto atenta contra la confidencialidad del mensaje

Posibilidades de intercepción o acceso no autorizado

Además de la posibilidad de que nuestro mensaje lo vean aquellos que trabajan en los equipos servidores, existen otras posibles intercepciones no autorizadas, típicamente el acceso por el uso de password débiles: muchs personas usan el correo web con password ridículamente débiles o fáciles de inferir, no es raro por ejemplo que un usuario con la dirección pepe21@yahoo.com use el password pepe21, o bien jose, etc. Existen utilitarios que se consiguen libremente en la red que permiten hacer ataques de diccionario a los email con los que facilmente se pueden romper las claves débiles de 4 o 5 letras.

Otra posibilidad de intercepción es la observación remota de las contraseñas instalando un troyano o puerta trasera en el equipo de la víctima, estos programas se instalan de la misma manera que un virus, ya sea enviándolo por un archivo adjunto de e-mail o bien dentro de otro programa, Los usuarios con conexión conmutada (teléfono normal) no tienen tanta vulnerabilidad pero aquellos que tienen una conexión permanente con una IP fija son especialmente vulnerables.

Remitente falso

Otro problema común de seguridad de los e-mail es que se puede enviar con gran facilidad un mensaje con remitente falso, es decir suplantando a otro usuario, las técnicas mas conocidas y sencillas para esto son usando el programa Telnet que está disponible en cualquier máquina que tenga instalado el Windows y, si bien un usuario experimentado puede probar con facilidad la autenticidad del remitente (chequeando la direccion IP con un servicio de whois) si no hay razones para sospechar de un mail es muy fácil caer en el engaño.

Contramedidas

Varia contramedidas para los problemas de seguridad descritos  ya se han detallado, las resumiremos y agregaremos algunas no mencionadas:

  • Encriptar con PGP cualquier mail cuyo contenido nos interese mantener confidencial
  • Chequear cuidadosamente la dirección de destino y las copias antes de enviar u e-mail
  • No abrir jamás archivos adjuntos de mail cuyo remitente se desconoce o no es de confianza
  • Usar antivirus
  • Usar utilidades de borrado de disco duro tales como el PGP cleansweep
  • Usar claves fuertes, mínimo 8 caracteres que incluyan letras, números, mayúsculas y minúsculas, no usar refranes ni frases célebres (es lo primero que revisa un ataque de diccionario)
  • Si se tiene una conecxión de cable o cualquier otra que asigne una IP fija es imprescindible el uso de un programa cortafuegos (firewall)
  • Chequear rutinariamente la ruta de los mail recibidos, en caso de dudas, verificar la direccion IP de origen usando el servicio whois disponible en la web.