Los gigantes de internet se alían para reforzar el email con un nuevo protocolo

Una palabra que puso en alerta a los usuarios del sistema operativo de Google el año pasado vuelve a pronunciarse con fuerza. Stagefright regresa, tanto o más peligroso en su nueva encarnación, que ha sido bautizada por sus descubridores como Metaphor.

Gmail anunció que ya cuenta con mil millones de usuarios activos al mes. Una increíble cifra que ya habían logrado otros servicios de Google como Android, Maps, Chrome o Youtube y que la ‘app’ de mensajería instantánea WhatsApp (propiedad de Facebook) también alcanzó recientemente.

Ahora, la empresa informó que tiene un nuevo propósito: que nuestros correos electrónicos sean más seguros. Google, Microsoft, Yahoo, LinkedIn, 1 & 1 Mail y Comcast -la principal compañía proveedora de televisión por cable en Estados Unidos- unieron sus fuerzas para desarrollar un nuevo protocolo de email.

Estas compañías presentaron una propuesta para mejorar la seguridad del correo electrónico al Grupo de Trabajo de Ingeniería de Internet (IETF por sus siglas en inglés), una organización que vela por el buen funcionamiento de la Red. El grupo de expertos de esas empresas propuso la creación de un nuevo protocolo SMTP STS (Strict Transport Security, Seguridad del Transporte Estricta). Ahora bien, ¿qué beneficios conllevaría que este protocolo se convirtiera en un estándar?

En 1982, se comenzó a utilizar el Simple Mail Transfer Protocol (SMTP). Este protocolo enviaba todos los mensajes en texto plano y no incluía medidas para evitar que un ciberatacante interceptara los correos electrónicos.

Para mejorar la seguridad, en 2003 se presentó el SMTP STARTTLS, el cual permite que las conexiones SMTP sean seguras gracias a la utilización del protocolo TLS (Seguridad de la Capa de Transporte en español) para cifrar los mensajes. Sin embargo, STARTTLS presenta un fallo de seguridad. Este protocolo permite que los mensajes se envíen incluso cuando la identidad del servidor no se puede verificar.

STARTTLS es vulnerable, así, a ataques ‘man-in-the middle’, en los que el ciberdelincuente es capaz de espiar los mensajes que se envían entre el emisor y el receptor del correo sin que ninguno de ellos se entere. Por ejemplo, un atacante podría hacer creer al cliente que el servidor no utiliza SSL o podría presentar un certificado digital falso. De esta forma, lograría interceptar los correos electrónicos .

Los gigantes tecnológicos acaban de presentar ese nuevo estándar SMTP STS para impedir que un ciberatacante pueda perpetrar esas fechorías. Con él, pretenden que todos los correos electrónicos se envíen a través de un canal cifrado y que ningún ciberdelincuente pueda espiar las comunicaciones. Este protocolo es similar al HTTP Strict Transport Security (HSTS) diseñado para que el servidor y el navegador web interactúen usando exclusivamente comunicaciones seguras.

El nuevo sistema comprueba si el destinatario utiliza SMTP STS y si tiene un certificado de cifrado válido y actualizado, asegurándose de que lo está enviando a un servidor seguro. En caso de que no sea así, el correo electrónico no llegará a mandarse y se informará al emisor sobre la causa. Con este método, se impide que un ciberatacante espíe los mensajes: cuando se detecta una anomalía, el correo electrónico ni siquiera sale de la bandeja.

Según los últimos datos de Google, el 83 % de los mensajes que se envían desde Gmail a otros proveedores ya están cifrados usando TLS, así como el 70 % de los que se mandan desde otros proveedores a su servicio. Ahora, este protocolo quiere contribuir a incrementar aún más la privacidad de nuestros correos.

Por el momento, el nuevo SMTP STS es tan solo una propuesta que el IETF tiene seis meses para evaluar. Eso sí, que el proyecto haya sido elaborado por los gigantes tecnológicos hace pensar que tal vez sea una realidad dentro de poco y consiga aguar la fiesta a los espías interesados en interceptar la información que nos llega a la bandeja de entrada.

Mientras tanto, siempre es recomendable contar al menos con algún servicio como los que ofrecemos en Panda Security para proteger el tráfico del correo de nuestra empresa contra el ‘malware’ y el ‘spam’, independientemente si se trata de una pyme o una gran empresa. Al fin y al cabo, los correos electrónicos encierran gran cantidad de datos confidenciales, especialmente en el ámbito corporativo. Por eso, preservar la privacidad del email es especialmente importante.