Seguimos con una entrega más de nuestro especial de Cómo cifrarlo todo, y esta vez le toca al correo electrónico. Hoy vamos a ver cómo cifrar nuestros mensajes de tal forma que nadie más que su destinatario pueda leerlos, repasando al mismo tiempo el estado de la tecnología en este aspecto.
Lo cierto es que cifrar tu correo es todo un engorro. No sólo tienes que configurar tu cliente, sino que también tienes que guardar las claves públicas de las personas a las que quieras enviar correos cifrados. Aun así, creemos que es útil que cualquiera sepa y pueda cifrar sus correos para asegurarse de que son confidenciales. Vamos a ello, empezando como siempre por las bases.
¿Qué significa cifrar el correo?
Todos sabréis ya a estas alturas que significa encriptar vuestro correo: es meterlo en una cripta para que nadie lo vea. Pero salvo que tengáis aficiones algo extrañas, lo que de verdad querréis será cifrar vuestro correo: transformarlo de tal forma que sólo lo pueda leer quien vosotros queráis.
El primer enfoque sería usar una contraseña: el contenido se cifra y se descifra con la misma palabra secreta. Pero esto tiene serios problemas, siendo el principal enviarle la contraseña de forma segura a nuestro interlocutor. Si el interlocutor trabaja en la mesa de al lado, no habrá problema en decírsela sin que se entere nadie. Si nuestro interlocutor está en el otro lado del mundo y sólo tenemos su correo, la cosa se pone algo más difícil. Obviamente, no queremos enviarle un correo con la contraseña y luego otro cifrado. Hay que buscar otra solución.
Esa solución se llama criptografía asimétrica. Hay un par de claves, la pública y la privada, relacionadas de tal forma que un contenido cifrado con la clave pública sólo se puede descifrar con la correspondiente privada, y viceversa. ¿Cómo lo aplicamos al correo?
La idea es sencilla: si quiero mandarle un correo a Alicia, primero consigo su clave pública, que estará colgada en Internet o me habrá pasado alguien. Después de redactar el correo, lo cifro con esa clave y se lo envío a Alicia. Sólo ella podrá descifrarlo con su clave privada: cualquier otra persona que intercepte el correo sólo verá un montón de basura sin sentido.
Por otra parte, también querremos firmar los correos para asegurar a todo el mundo que somos nosotros quienes hemos escrito el correo y no un impostor. Para ello cifraremos el contenido con nuestra clave privada. Así, cualquiera que desee verificar la firma sólo tiene que tratar de descifrarlo con nuestra clave pública. Si tiene éxito, ese mensaje lo hemos escrito nosotros. Si no, algo falla y hay alguien que está tratando de hacerse con nuestra identidad.
OpenPGP, S/MIME y claves
Ahora que ya conocemos la base del cifrado de correo, vamos a la implementación. Hay dos estándares que se pueden usar para cifrar el correo: OpenPGP y S/MIME. A nivel de seguridad no hay grandes diferencias entre ellos, así que usaremos uno u otro en función de lo que use nuestro receptor. Normalmente, OpenPGP se usa más en el mundo de Linux, software libre y relacionados, y S/MIME está más extendido en el mundo empresarial.
Las diferencias que nos interesa conocer de estos dos estándares están en las claves que se usan. OpenPGP usa claves que te creas tú en el momento, y que firman el resto de usuarios para darles validez y verificar que tu clave es efectivamente tuya y no de un impostor. S/MIME, por el contrario, se acerca más al enfoque de HTTPS con certificados X.509 firmados por una autoridad certificadora, que es la que verifica tu identidad.
En Windows, podemos crear nuestras claves con el programa GPG4Win, donde un asistente nos guiará para crear claves tanto X.509 como OpenPGP.
En OS X, desde Keychain Access podremos crear claves X.509. Sólo hay que ir al menú Keychain Access -> Asistente de certificados -> Crear un certificado y escoger el de tipo S/MIME. Para crear claves OpenPGP tendremos que bajarnos GpgTools y usar el asistente en el programa GPG Keychain Access que se instala.
Por último, en Linux crearemos nuestras claves OpenPGP con el comando gpg --set-key (si no tenéis gpg instalado, hacedlo con sudo apt-get install gnupg en Ubuntu). Crear certificados X.509 es algo más complicado, ejecutando los comandos
openssl genrsa -out privatekey.pem 1024
openssl req -new -x509 -key privatekey.pem -out publickey.cer -days 365
openssl pkcs12 -export -out public_privatekey.pfx -inkey privatekey.pem -in publickey.cer
Además de crear nuestras claves, podemos obtenerlas de varios proveedores como Comodo o VeriSign , que será más fácil y dará menos problemas.
Cómo cifrar tu correo en Thunderbird
Una de las mejores opciones si tenemos para cifrar nuestro correo es usar Thunderbird, un cliente multiplataforma con soporte nativo para S/MIME. Para usar OpenPGP tendremos que instalar la extensión Enigmail.
En el caso de S/MIME, tendremos que configurar los certificados en la pestaña "Seguridad" de cada una de las cuentas con las que queramos enviar o recibir correos firmados o cifrados. Para ello, hacemos clic derecho en la barra lateral en la cuenta a configurar, opción Ajustes y vamos al apartado Seguridad. Ahí podremos importar nuestros certificados de firma y cifrado. En esa misma ventana tenemos también la opción de importar los certificados de nuestros contactos para verificar sus mensajes y enviarles mensajes cifrados.
Si lo que usamos es PGP, Enigmail nos mostrará un asistente que nos guiará en todas las configuraciones necesarias, sin ningún tipo de problema ni complicación.
A la hora de escribir un mensaje, en el menú superior tendremos un botón de Seguridad donde podremos activar el cifrado o la firma. Si hemos instalado Enigmail lo que aparecerán serán dos opciones, una para cifrar/firmar con OpenPGP y otra con S/MIME.
Thunderbird también descifrará y verificará automáticamente los mensajes cifrados/firmados que nos lleguen, con un mensaje que nos avisará que todo está correcto.
Cómo cifrar tu correo en Apple Mail
Dentro de lo engorroso que suele ser cifrar tu correo electrónico, hacerlo con Apple Mail es sencillo. Al instalar GpgTools, se añade una pequeña pestaña en la parte superior derecha para elegir entre S/MIME o OpenPGP. Para el primero tendremos que tener los certificados (tanto el nuestro como los de nuestros contactos) instalados en Keychain Access, para el segundo en GPG Keychain Access.
Una vez hecho eso sólo hay que pulsar los botones del candado o del tick que veis en la captura para cifrar o firmar el correo, respectivamente. Cuando recibamos un mensaje, veremos una marca en la que Mail nos avisará si la firma es correcta o si por el contrario ha habido problemas.
Cómo cifrar tu correo en Outlook 2013
Outlook 2013 permite cifrar tu correo con S/MIME sin necesidad de añadidos. Para añadir tu certificado, hay que ir a "Archivo -> Centro de confianza" y ahí pulsar el botón "Configuración del centro de confianza". Se abrirá un nuevo diálogo: en el apartado "Seguridad del correco eletrónico" podremos importar nuestro certificado.
Una vez hecho eso, podremos cifrar y firmar los correos con los botones correspondientes de la pestaña "Opciones" en la ventana de redacción de correos. Si no aparecen, tendremos que hacer clic en la flecha inferior derecha de la sección de "Más opciones" (a la derecha del todo), pulsar en "Configuración de seguridad" y marcar las opciones que queramos.
En cuanto al cifrado con OpenPGP, al instalar GPG4Win aparecerá una nueva pestaña en la ventana de redacción, GpgOL, con botones para cifrar y firmar el correo. Eso sí, antes tendremos que instalar nuestro certificado con el gestor de certificados, al que podemos acceder desde la misma pestaña.
Cómo cifrar tu correo en Outlook.com o Gmail
Vamos por último con los clientes web: Outlook.com o Gmail. Si no queréis usar un cliente de escritorio, hay ciertas alternativas. Para usar OpenPGP podéis usar Mailvelope, una extensión para Chrome y Firefox. Sólo hay que subir nuestra clave e importar las de nuestros contactos. Es un poco engorroso, ya que hay que usar una ventana distinta para editar mensajes que queramos cifrar, y no acaba de funcionar del todo bien.
Para S/MIME en Gmail la opción es Penango, una extensión para Firefox e Internet Explorer que nos permite usar S/MIME de forma gratuita en Gmail y Google Apps. En Outlook.com no he logrado encontrar nada, aunque si tenéis Office 365, la web-app de Outlook sí que os permite cifrar correos.
Cifrar todo tu correo todavía es una utopía
Tratar de cifrar todo tu correo es un objetivo inalcanzable. Veinte años después de su creación es todavía un proceso engorroso y con muchos problemas potenciales incluso para alguien que sepa manejarse con ordenadores. Ya no sólo por tener dos estándares incompatibles, también tenemos aplicaciones que no aceptan certificados porque no tienen las capacidades requeridas, ajustes de confianza incorrectos, certificados con el formato incorrecto... Configurar todos tus clientes de correo para que cifren tus correos es una verdadera aventura, y eso sin contar con los fallos de las aplicaciones en sí, tanto de cuelgues (Thunderbird es terrible en este sentido) como de usabilidad y caminos intrincados para conseguir lo que quieres.
Hay gente que está tratando de hacer esto de forma más fácil, como los desarrolladores del proyecto LEAP (no hemos incluido su solución de cifrado de correo en este artículo porque no acaba de funcionar del todo bien en nuestras pruebas). Aun así, ganar en seguridad y privacidad implica perder muchísima facilidad de uso en el correo electrónico. Y no se trata sólo de que sea complicado (la seguridad nunca es fácil): es algo de lo que nunca se han preocupado demasiado ni los proveedores de correo ni los usuarios. En un momento en el que Internet es cada vez menos privado, es necesario marcar un punto de inflexión y encontrar soluciones para el problema del cifrado el correo.
En Genbeta | Cómo cifrarlo todo
Ver 2 comentarios