Si nos remontamos a los comienzos de la era Internet, el correo electrónico fue uno de los servicios anclas para el impulso y desarrollo de la nueva tecnología. Por ese entonces el correo electrónico era un servicio orientado a transmitir mensajes simples, precisos y con un nivel de importancia poco relevante. La idea era que el mensaje pudiera ser enviado entre distintas redes en un tiempo lo más breve posible.
El protocolo responsable de enviar correo electrónico se denomina SMTP (Protocolo Simple de Transferencia de Correo). Se trata de un protocolo que data de comienzos de los ‘80 y no cuenta nativamente con niveles de seguridad: no existe validación del emisor ni codificación de los contenidos, por lo tanto cualquier emisor puede intentar transmitir mensajes de correo utilizando cualquier remitente (lo que facilita el despacho de correo electrónico no deseado). Además es patente la posibilidad de que los contenidos puedan ser vistos en cualquier etapa del proceso de transferencia de datos. Existe una mejora llamada SMTP Autenticado, que ayuda a los servidores a validar los remitentes de mensajes, agregando una capa adicional de fiabilidad al servicio.
Para un envío más seguro se pueden utilizar técnicas como S-MIME, que permite firmar un correo digitalmente y enviarlo de forma cifrada, siendo sólo el receptor capaz de leer nuestro mensaje. Sin embargo, se trata de un mecanismo poco utilizado en los servidores de correo, que actualmente utilizan técnicas de antivirus y antispam que permiten mantener nuestra bandeja más liberada de posibles vulnerabilidades (sobre un 90% de los correos que circulan a través de Internet son de tipo no deseado). Estas técnicas contemplan el manejo de listas blancas y negras de remitentes, además de validación del dominio de origen de los mensajes.
Otro punto relevante es el servicio electrónico vía web, también conocido como webmail, el cual debiera establecer la comunicación mediante la utilización de certificados de seguridad SSL (como lo aplican los bancos para ejecutar sus transacciones), lo que permite mantener una comunicación codificada con el servidor, lo que la vuelve difícil de vulnerar por espías de la información.
Ante esta situación, resultan claves todas las buenas prácticas que ayuden un mejor manejo y utilización del correo electrónico, ya sea por parte del usuario final como de los administradores de servicio: Mantener claves seguras de correo electrónico (simples de recordar pero complejas de vulnerar) y modificarlas cada cierto tiempo, no responder ni abrir correos de remitentes desconocidos, tener una dirección un correo alternativo para ser utilizado en sitios web que no sean de su total confianza y que puedan ser origen de correo no deseado, respaldar constantemente los mensajes de correo electrónico, utilizar etiquetas de confirmación de envío y de lectura de los mensajes que considere importantes.
La no utilización de todas o algunas de las técnicas antes mencionadas transforman el servicio de correo electrónico en un medio simple, rápido y eficaz de comunicación, pero con serios problemas de seguridad y confiabilidad del contenido de nuestros mensajes.
Hernán Sáez Talavera
Ingeniero Informático
Dirección de Servicios Informáticos
Universidad Católica de la Santísima Concepción