El Viaje de un Correo electrónico sin cifrar
Entonces, cuando envías un correo electrónico sin cifrar, ¿qué tan vulnerable eres? Ya hemos escrito sobre el recorrido que atraviesa un correo electrónico cifrado, desde redactar un borrador en su cliente de correo electrónico hasta llegar a la bandeja de entrada de su destinatario. Si bien la ruta se ve un poco diferente dependiendo del tipo de cifrado que esté utilizando, una cosa es cierta: el uso del cifrado de correo electrónico del lado del cliente ayuda a bloquear todas las diversas oportunidades que tiene un hacker para acceder a sus datos.
El número de paradas que hace tu correo electrónico después de que sale de tu bandeja de entrada puede sorprenderte, así que vamos a retirar las capas y ver qué sucede cuando envías un correo electrónico sin cifrar, y, desde el punto de vista de un hacker o ciberespía, cuántos lugares puedes interceptar ese correo electrónico y robar el contenido.
Correo electrónico sin cifrar: Lo que puede salir mal
«El viaje de un correo electrónico sin cifrar es realmente el inverso del viaje de un correo electrónico cifrado. En cada paso del camino, tienes vectores de ataque que simplemente podrían no ser un problema si hubieras enviado un correo electrónico cifrado», dice Will Ackerly, Cofundador y Director de Tecnología de Virtru.
Es fácil pensar en el correo electrónico como un viaje directo desde el punto A (el ordenador del remitente) hasta el punto B (el destinatario o los ordenadores de los destinatarios). Pero incluso antes de que un correo electrónico sin cifrar salga de su bandeja de entrada, representa una amenaza para la seguridad y la privacidad de sus datos, y una vez que se va, pasa por algunas paradas antes de llegar a su destino final.
«Cada correo electrónico pasa por tres saltos en su camino a un destinatario», dice Ackerly. «Con cada salto puede haber o no una conexión cifrada, y el único que puede estar seguro es el primer salto (si está utilizando un cliente de correo web como Gmail, que utiliza SSL/TLS para cifrar el correo electrónico.) «
1. Detener uno: su servidor de correo electrónico. «Si envío un correo electrónico con Gmail, hay una conexión mía con Google», dice Ackerly. «Ese es el primer salto, y puedes saber si esa conexión está encriptada. Todo lo que tienes que hacer es buscar en tu barra de direcciones esa cerradura verde.»
2. Parada dos: el servidor de correo electrónico de su destinatario. Luego, Google se comunica con, por ejemplo, Yahoo (si estoy enviando correo electrónico a un usuario de Yahoo)», dice Ackerly. «Ese es el segundo salto.»Y ese es el segundo lugar en el que su correo electrónico puede ser interceptado, si el cliente de correo de su destinatario no usa cifrado de correo electrónico.
«Este segundo salto es donde los usuarios finales no tienen visibilidad del proceso», dice Ackerly. «Es casi imposible saber si la conexión entre su proveedor de correo electrónico y el proveedor de correo electrónico de su destinatario está encriptada o no. Google puede hacer todo lo que quiera para cifrar Gmail, pero si el proveedor de tu destinatario no admite una conexión cifrada, Google no tiene otra opción que dejarla salir en texto claro. Y ese es el estado de correo electrónico predeterminado, en realidad. Está desprotegido y es legible para cualquiera que se apodere de ese mensaje.»
3. Parada tres: la computadora de su destinatario. «Finalmente, el correo electrónico va de Yahoo a su destinatario, y ese es el tercer salto», dice Ackerly, » y es otro lugar donde su correo electrónico puede verse comprometido.»Una vez que su destinatario abre el correo electrónico, puede reenviarlo a quien quiera, creando una cadena de puntos vulnerables.
«Esa es la vida de un correo electrónico sin cifrar», dice Ackerly. «Podría, como con Gmail, estar encriptado de un salto a otro, pero en los otros saltos puede existir en un estado desprotegido. Y si alguna de esas cuatro entidades vinculadas por esos tres saltos comete un error, sus datos pueden verse comprometidos.»
Con tantos lugares potenciales, su correo electrónico sin cifrar puede verse frustrado, ya sea por hackers que quieren robar sus datos, ladrones cibernéticos después de su propiedad intelectual o simplemente alguien que husmea, la perspectiva de no proteger sus mensajes de correo electrónico y archivos adjuntos parece bastante aterradora.
Y para cada negocio que se correspondía con Sony Pictures en la época de su hackeo de 2014, ese miedo se volvió un poco demasiado real.
El Destino de Su correo electrónico Podría Ser Su Principal Punto Débil
«Algo que creo que era realmente poco intuitivo hasta el hackeo de Sony es que la mayor amenaza para la seguridad del correo electrónico empresarial es lo que le sucede al correo electrónico en el extremo del destinatario», dice Ackerly. «Eso incluye tanto la computadora del destinatario como la empresa del destinatario, si está enviando un correo electrónico a otro sistema empresarial.»
Los laxos hábitos de privacidad y seguridad de Sony que condujeron al infame hackeo no solo pusieron a Sony en peligro, sino que Snapchat también terminó en el punto de mira de los hackers, en virtud de haber intercambiado correo electrónico sin cifrar con Sony.
«El Hack de Sony realmente puso el foco en la vulnerabilidad del destino de tu correo electrónico. El CEO de Snapchat estaba enviando correo electrónico a un asesor de Sony, y cuando los servidores de correo electrónico de Sony fueron hackeados, puso en riesgo a todos los que habían intercambiado correo electrónico sin cifrar», dice Ackerly. «Y eso incluía SnapChat.»
Algunos de esos correos electrónicos incluían conversaciones privadas entre Snapchat y el CEO de Sony Entertainment, Michael Lynton, quien también se desempeña como miembro de la junta directiva de Snapchat, detallando las ambiciones comerciales de Snapchat. Planes para expandirse a nuevos mercados, adquisiciones secretas e ideas para nuevas características y funcionalidades, todo filtrado como resultado del hackeo de Sony.
«Esta brecha masiva no ocurrió porque nadie en SnapChat no estaba haciendo un buen trabajo», dice Ackerly. «Es porque con el correo electrónico sin cifrar, hay un gran riesgo inherente. Hay varias partes que tienen la custodia del correo electrónico que envía. Confías en ellos para que hagan su debida diligencia para proteger su contenido. Si meten la pata, estás atrapado en la red.»
La vulnerabilidad de la computadora de su destinatario, así como de su servidor de correo electrónico (ya sea alojado en las instalaciones, en la nube o como parte de un servicio como Gmail o Yahoo) podría ser la caída de su seguridad de correo electrónico, pero su propio dispositivo tampoco es inmune.
Cómo Su Propio Equipo es una Amenaza Para La Seguridad de Su correo electrónico
Una de las principales preocupaciones que expresan las empresas al migrar su solución de correo electrónico local (Exchange, por ejemplo) a la nube es la seguridad. Y Outlook, Apple Mail y otros clientes de escritorio siguen siendo soluciones muy populares para las empresas. ¿No hay algo inherentemente menos seguro en alojar su correo electrónico en la nube?
No necesariamente. Por un lado, migrar a Gmail (a través de Google Apps for Work, ahora conocido como G Suite) como su solución de correo electrónico empresarial significa que obtiene al menos un poco de protección a través del cifrado de correo electrónico, ya que Google hornea el cifrado SSL/TLS en su producto de correo electrónico. Puede ser una solución incompleta en comparación con el cifrado del lado del cliente, y no funcionará en el contexto de ciertos regímenes regulatorios y de cumplimiento, como HIPAA o CJIS, pero ciertamente es mejor que nada en absoluto.
También está el problema de su computadora. Si está utilizando un cliente de correo electrónico de escritorio, ¿qué sucede si, por ejemplo, le roban su computadora portátil?
«Si está utilizando correo web, en particular Gmail, tiene una pequeña cantidad de protección. En realidad, estás bastante seguro en lo que respecta a la creación de datos confidenciales en tu computadora», dice Ackerly. «Si te roban la computadora y usas un cliente de correo electrónico de escritorio como Apple Mail, todos esos mensajes de correo electrónico, no solo los que has enviado, sino también los que has recibido, son vulnerables al robo. No están protegidos ni cifrados de ninguna manera.»
En ese sentido, usar un servicio de correo web como Gmail, que almacena sus datos de forma remota en servidores de alta seguridad, en realidad tiene mucho sentido. «Además, los programas de correo electrónico de escritorio a menudo descargan toda su bandeja de entrada, lo que puede constituir una gran parte de su vida privada o corporativa/profesional, en su dispositivo.»
A menos que su computadora esté encriptada, eso puede resultar en costosas violaciones. «Ha habido ejemplos de que un solo médico publica los datos de una computadora en Internet, generalmente por error, y resulta en millones y millones de dólares en multas por violación de HIPAA y otros costos. Eso también puede suceder con el correo electrónico de escritorio», dice Ackerly. «Pero con clientes de correo web como Gmail, cuando creas un borrador o envías un correo electrónico, no estás creando una copia en tu computadora que pueda perderse o filtrarse. Todavía hay muchas copias que se pueden violar, una vez que crea un borrador, ese contenido ahora persiste en un servidor backend, pero no necesariamente tendrá una copia en su dispositivo que se pueda filtrar o perder.'»
La Amenaza del Error del Usuario (Y la Importancia de la Protección contra la Pérdida de Datos)
Pero la piratería, la vigilancia/espionaje y el robo de computadoras portátiles no son las únicas razones por las que no es seguro enviar correos electrónicos sin cifrar. Muchas veces, el mayor enemigo de la privacidad y seguridad del correo electrónico de su organización es su propia organización.
«Una de las mayores amenazas reales en la seguridad del correo electrónico empresarial es simplemente el error del usuario», dice Ackerly. «Hablamos mucho sobre el ‘actor consciente’, ya sea un interno malicioso o un hacker externo, que representa una amenaza, pero un montón de incidentes de seguridad se deben a errores.»
Ese error podría ser escribir la dirección de la persona equivocada en la línea «Para». Podría ser reenviar un correo electrónico sin darse cuenta de que hay datos confidenciales enterrados en la parte inferior de la cadena, debajo del correo electrónico relevante que quería reenviar. La capacidad de detectarlo y reaccionar ante él es crucial para prevenir incidentes importantes de seguridad de correo electrónico en la empresa.
«Esto demuestra la importancia de la Protección contra la Pérdida de Datos (DLP) y por qué Virtru incluye DLP en su solución de cifrado de correo electrónico», dice Ackerly. «El administrador de correo electrónico puede decir con anticipación,’ Estas son las palabras que nos causarán un problema de seguridad si las incluimos en el correo electrónico.»Más allá de lo obvio, como las palabras «alto secreto» o «solo para tus ojos», también hay patrones que el software busca en tu correo electrónico antes de enviarlo.»
Por ejemplo, si su correo electrónico contiene un número escrito en el patrón de Número de Seguro Social (xxx-xx-xxxx), o un número de 16 dígitos que parece un número de tarjeta de crédito, Virtru lo resaltará cuando presione» Enviar » y luego preguntará si desea enviar el mensaje como un correo electrónico cifrado.
» Esto constituye la extensión Virtru que escanea de forma inteligente su contenido en busca de estos posibles riesgos de seguridad, pero todo esto sucede en su complemento: ningún tercero tiene acceso a su contenido.», explica Ackerly. «La característica es una especie de función de corrección ortográfica, pero para la pérdida de datos. El concepto de buscar datos muy sensibles, y luego hacer cumplir la política, es una capacidad que muy pocas empresas tienen en este momento, porque los datos se almacenan en un servidor en algún lugar. Pero la capacidad de hacer cumplir estas protecciones de DLP es algo que hemos visto que muchas empresas comienzan a pedir.»
Con DLP, ya no depende de que el usuario sepa si desea cifrar o no, y evita muchos de los momentos de «oops» que pueden conducir a violaciones de datos.
¿Qué sucede con el Correo Electrónico Cifrado Enviado Con Sistemas de Portal
Mientras el correo electrónico sin cifrar pasa a través de los tres saltos del viaje de un correo electrónico sin protección, qué pasa si está utilizando un sistema de portal para enviar correo electrónico cifrado? Todavía estás recibiendo un tipo limitado de protección, explica Ackerly. «El portal almacena una versión sin cifrar del correo electrónico. Muchas empresas llaman a estos sistemas de portales «correo electrónico cifrado», pero la realidad es que realmente no está más encriptado que un correo electrónico encriptado con SSL/TLS (como Gmail).»
Lo que significa que tu correo electrónico no es seguro en cada salto. «Ese proveedor de correo electrónico se quedará con el correo electrónico y solo permitirá que el contenido no cifrado pase por una conexión cifrada de punto a punto con el destinatario. Realmente lo que estás comprando allí es una garantía de que el último salto es sobre una conexión encriptada punto a punto.»
Además, las empresas renuncian a cierta propiedad de su propio contenido de correo electrónico cuando eligen una solución de portal. «Aquí está la compensación: estás renunciando a otra versión sin cifrar de tu correo electrónico a otro proveedor. En lugar de que Google reciba el correo electrónico y lo envíe, se lo está dando al proveedor del portal», dice Ackerly. «La desventaja es que pueden ver el contenido, a diferencia del cifrado de correo electrónico del lado del cliente, esos proveedores de portales tienen acceso a los datos subyacentes.»
Para una verdadera protección en cada parada que pasa su correo electrónico, así como la propiedad de la privacidad total del contenido de su organización, necesita un servicio de cifrado de correo electrónico del lado del cliente como Virtru.
Virtru: Cifrado del lado del cliente & DLP para Proteger su correo electrónico En cada paso del camino
Está claro que el recorrido por el que pasa un correo electrónico, desde el borrador hasta la bandeja de entrada de su destinatario (y más allá), es muy diferente dependiendo de si no utiliza cifrado, cifrado limitado (como con SSL/TLS o portales) o cifrado de correo electrónico del lado del cliente.
Virtru Pro no solo proporciona cifrado de correo electrónico del lado del cliente y protección contra la pérdida de datos para mantener su correo electrónico cifrado seguro y privado de principio a fin, sino que también le brinda un control granular sobre su bandeja de entrada. Con el control de reenvío, puede asegurarse de que su destinatario sea el único destinatario del correo electrónico que envíe. Con la recuperación de correo electrónico, puedes recuperar un mensaje que hayas enviado por error. También puedes establecer fechas de caducidad en tu correo electrónico.
Virtru funciona a la perfección con el proveedor de correo web que ya utiliza para proteger sus mensajes y archivos adjuntos, todo con solo pulsar un botón. Tome posesión de sus datos hoy mismo y descargue Virtru para enviar correos electrónicos cifrados.