viernes, noviembre 06, 2009

Privacidad en el correo (I): Acceso a webmails a través de conexiones seguras

Llevo un tiempo dándole vueltas a varios artículos que expliquen de manera sencilla como funciona el correo electrónico y lo fácil que es capturas las comunicaciones del mismo. Estamos acostumbrados a pensar que nadie va a hurgar en nuestras comunicaciones electrónicas, cuando no es del todo cierto. Sin entrar en los polémicos sistemas de interecepción de comunicaciones que con fines más o menos claros tienen los diferentes estados, lo primero que hay que decir respecto a la transmisión del correo electrónico entre dos usuarios de internet, es que la información va en claro. Utilizando la analogía con el correo postal normal, no hay ningún sobre que proteja el contenido. Una vez que los paquetes de datos abandonan nuestro ordenador y comienzan a circular por los diferentes sistemas intermedios hasta alcanzar el destinatario, normalmente, se transmiten sin cifrar. Cualquier administrador poco honesto de uno de estos sistemas intermedios podría leer el correo que circula a través de su sistema.

Además, todos sabemos que muchos sistemas de correo utilizan técnicas de detección del correo basura, para intentar controlar la cantidad que llega hasta los usuarios. Estas mismas técnicas podrían usarse para marcar ciertos correos, que por ejemplo, quisiera analizar las fuerzas de seguridad del Estado, no siempre con supervisión o con intenciones legales.

Esto mismo es aplicable cuando es un tercero quienes nos almacena el correo (Yahoo, Gmail o Hotmail), y accedemos al mismo a través de un navegador web, a lo que conocemos habitualmente como un webmail. Normalmente, la única comunicación que va cifrada es el envío del usuario y contraseña para acceder al sistema, siendo el resto de la comunicación sin cifrar

Existe muchos motivos por los cuales una persona puede desear que la comunicación con su servidor de correo sea cifrada a través de SSL. La primera de todas, es que quieres proteger tu correo electrónico de miradas indiscretas, al menos en la conexión entre los servidores1, descendiendo a cosas más reales:

  • Evitar que las herramientas de análisis de contenido que tienen las compañías puedan leer tu correo, al estar saliendo por un proxy a Internet.
  • No dejar información sensible en los discos duros: el contenido que va cifrado, generalmente, no se almacena en las cachés de los navegadores.
  • Asegurarte que al menos, la conexión entre tu ordenador y el proveedor de correo va cifrada.

Por desgracia, de los tres grandes proveedores de webmail gratuitos, Hotmail, Yahoo y Gmail, sólo este último permite configurarse para que toda la información vaya cifrada entre nuestro navegador y los servidores de Google2.

Para configurar en Gmail la opción de que siempre utilice una conexión cifrada, nos vamos a las opciones, pestaña general, y ahí tenemos Browser connection:

Configuración de SSL

En este caso al seleccionar la opción Always use https nos aseguramos que todas las comunicaciones con gmail son cifradas.

Google en su página de ayuda,comenta que esta opción, puede dar problemas con parte de su software, específicamente Gmail Notifier, Gmail for mobile y Google Toolbar. Si uno es usuario de estos programas, debe de plantearse si le merece más la pena las funciones que puede realizar con los mismos o la seguridad de usar una conexión cifrada.

Decir también que el uso de conexiones cifradas siempre hace el ordenador más lento, puesto que tienen que realizar todas las labores de cifrado del flujo de datos.

Sin embargo, ni Yahoo ni Hotmail permiten el uso de conexiones cifradas para toda la sesión, al menos a día de hoy.

Notas

1Decir que realmente, sino existe un cifrado de la comunicación extremo a extremo, como la que se consigue con el uso de un software como pgp o gnupg no se puede garantizar que la información viaje cifrada durante todos los sistemas intermedios por los que puede atravesar antes de llegar al destinatario final.
2Me podéis decir, con toda razón, que Google lee nuestro correo para mostrarnos los correspondientes anuncios de los que saca sus ingresos, aparte de que Google no ha tenido algún que otro inconveniente en bajarse los pantalones cuando le han pedido alguno de los datos de sus usuarios.

Technorati Tags: ,,smtp

No hay comentarios: