Google, Microsoft, Yahoo, entre otros, se unieron y desarrollaron un nuevo estándar de seguridad de correo electrónico, con el objetivo de asegurar que el tráfico cifrado no sea vulnerable a los ataques man-in-the-middle
PC World en Español
Google, Microsoft, Yahoo, Comcast, así como LinkedIn y 1&1 Mail & Media Development Technology, los más importantes proveedores de servicios de correo electrónico, se unieron para mejorar la seguridad del tráfico de emails que atraviesa Internet.
De esta forma, los ingenieros de todas esas empresas idearon el SMTP Strict Transport Security, un nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones por correo electrónico cifrados.
El nuevo mecanismo está definido en un borrador que fue publicado la semana pasada para su consideración como un estándard de Internet Engineering Task Force (IETF).
Y, con ello, las empresas buscan que el Protocolo simple de transferencia de correo (SMTP), que se utiliza para transferir mensajes de correo electrónico entre clientes de correo electrónico y servidores, así como de un proveedor a otro, que fue ideado en 1982 y que no se construyó con ninguna opción de cifrado, pueda seguir evolucionando para dar mayor seguridad en las comunicaciones.
Como se sabe, en el año 2002 se desarrolló una extensión llamada STARTTLS, que fue añadida al protocolo como una manera de incluir TLS (Transport Layer Security) con conexiones SMTP. Pero lamentablemente la extensión no fue adoptada ampliamente y el tráfico de correos electrónicos intercambiados entre servidores permaneció en gran parte sin cifrar.
Pero eso cambió en el 2013, luego de que el exempleado de la Agencia de Seguridad Nacional de EE.UU. Edward Snowden, filtró documentos secretos que revelaron la vigilancia generalizada de las comunicaciones de Internet por las agencias de inteligencia de los EE.UU., Reino Unido y otros países.
En mayo de 2014, Facebook, que envía miles de millones de mensajes de correo electrónico de notificación a los usuarios todos los días, hizo una prueba y se encontró que el 58% de los mensajes de correo electrónico pasa a través de una conexión cifrada con STARTTLS. En agosto de ese mismo año, la tasa aumentó a 95%.
Sin embargo, la tecnología tiene un problema y que a diferencia de HTTPS (HTTP seguro), STARTTLS permite lo que se conoce como cifrado oportunista. No valida los certificados digitales presentados por los servidores de correo electrónico, bajo el supuesto de que, incluso si la identidad del servidor no se puede verificar, cifrar el tráfico es mejor que nada.
Esto significa que las conexiones STARTTLS son vulnerables a los ataques man-in-the-middle, donde un hacker en una posición de interceptar el tráfico podría presentar el remitente de correo electrónico con cualquier certificado, incluso un firmado por uno mismo, y será aceptado, lo que permite que el tráfico sea descifrado. Además, las conexiones STARTTLS son vulnerables a los llamados ataques de versiones anteriores de cifrado, donde se extrae simplemente el cifrado.
Por eso, la nueva propuesta de SMTP Strict Transport Security (SMTP STS) aborda estos dos temas. Por un lado, se ofrece a los proveedores de correo electrónico para informar a los clientes de que TLS está disponible y se debe utilizar. También les dice cómo el certificado presentado debe ser validado y lo que debería ocurrir si una conexión TLS no se puede ser negociada con seguridad.
Estas políticas SMTP STS se definen a través de los registros DNS especiales añadidos al nombre de dominio del servidor de correo electrónico. El protocolo proporciona mecanismos para que los clientes validen automáticamente estas políticas e informen sobre cualquier fallo. Los servidores también pueden informar a los clientes para esconder sus políticas SMTP STS durante un período específico de tiempo, con el fin de evitar que los atacantes man-in-the-middle puedan usar políticas fraudulentas cuando intentan conectarse.
El protocolo propuesto es similar al HTTP Strict Transport Security (HSTS), que está destinado a prevenir los ataques de HTTPS escondiendo la política HTTPS de un dominio localmente en el navegador. Lo hace, sin embargo, suponiendo que la primera conexión de un cliente particular hacia el servidor se realizó sin ser interceptado; de lo contrario, una política fraudulenta podría haber sido escondida.
Según los últimos datos de Google, el 83% de los mensajes de correo electrónico enviados por los usuarios de Gmail a otros proveedores de correo electrónico de todo el mundo están cifrados, pero sólo el 69% de los correos electrónicos entrantes de otros proveedores se reciben más de un canal cifrado.
También hay grandes discrepancias en el cifrado de correo electrónico entre las regiones del mundo, con proveedores de correo electrónico en Asia y África la situación es mucho peor que la de los proveedores en Europa y EE.UU.