Proteja su correo electrónico con una estricta política de seguridad de contenidos

La Política de Seguridad de Contenidos de Tuta tiene como objetivo prevenir los ataques XSS. Porque la seguridad es algo más que cifrar todos los datos posibles.

Padlock symbolizing encryption of data.

En Tuta Mail, damos prioridad a tu seguridad y privacidad y creamos un servicio en el que confían millones de personas de todo el mundo. Para lograr la mejor seguridad de su clase utilizamos una estricta CSP (Política de Seguridad de Contenidos), un sanitizador HTML para mostrar contenido desconocido en los correos electrónicos para prevenir ataques de cross-site-scripting (XSS), y bloqueamos la carga de contenido externo por defecto. Pero, ¿qué significa esto exactamente para usted?


El correo electrónico, el moderno medio de comunicación del que nadie puede prescindir, es muy cómodo, ya que nos permite ponernos en contacto rápidamente con cualquier persona del mundo para iniciar una conversación. Sin embargo, la comodidad del correo electrónico viene acompañada de la amenaza inminente de los ciberataques, en particular los ataques de secuencias de comandos en sitios cruzados (XSS), que pueden poner en peligro la seguridad de la bandeja de entrada y la información personal. Estos ataques son bastante comunes contra los servicios de correo electrónico tradicionales debido a cómo está diseñado el correo electrónico. En Tuta su seguridad tiene la máxima prioridad, y hemos tomado medidas para proteger a todos los usuarios de Tuta Mail de este tipo de amenazas. A través de una estricta Política de Seguridad de Contenidos (CSP) y la implementación de un sanitizador HTML, nos aseguramos de que su buzón esté protegido de ataques maliciosos.

¿Qué es la CSP y por qué es necesaria?

La Política de Seguridad de Contenidos (CSP) es un estándar de seguridad que ayuda a prevenir ataques maliciosos como el cross-site scripting (XSS) y los ataques de inyección de datos. La CSP especifica claramente qué fuentes de contenido pueden cargarse al abrir un correo electrónico en el cliente web. Nuestra implementación de CSP desempeña un papel crucial a la hora de garantizar que en su buzón de correo sólo se muestra contenido de confianza, mitigando el riesgo de ejecución de código malicioso. Una de las características clave de la implementación de CSP de Tuta Mail es su desinfectador de HTML, que actúa como un sólido mecanismo de defensa contra el contenido potencialmente dañino incrustado en los correos electrónicos. Este sanitizador comprueba los correos electrónicos entrantes en busca de cualquier código o secuencia de comandos sospechosos y los elimina antes de que puedan suponer una amenaza para el dispositivo o los datos del usuario.

Bloqueo de contenido externo

Además, Tuta Mail bloquea el contenido externo, como imágenes y vídeos, que también pueden contener código malicioso o píxeles con fines de seguimiento. Esto también significa que cualquier contenido potencialmente arriesgado incluido en los correos electrónicos, como imágenes o scripts alojados remotamente, se bloquea por defecto, lo que reduce significativamente la probabilidad de ataques XSS. Pero, ¿y si recibe contenido legítimo de remitentes de confianza? Por supuesto, Tuta Mail le permite cargar contenido externo manualmente, si confía en el remitente. Esto se puede hacer fácilmente con un simple clic en el correo electrónico, y la decisión también puede ser recordada para futuros correos electrónicos. Esta información se almacena en la caché del navegador, de modo que mientras no se borre la caché, el contenido externo de los correos electrónicos de confianza se cargará automáticamente en el futuro. Este enfoque intuitivo le permite tomar decisiones informadas sobre el contenido con el que decide interactuar, sin comprometer la seguridad.

Screenshot of a Tuta email that blocks external content asking whether you want to "Show" the images, "Always trust sender" or "Always block sender." Captura de pantalla de un correo electrónico de Tuta que bloquea contenido externo preguntando si desea “Mostrar” las imágenes, “Confiar siempre en el remitente” o “Bloquear siempre al remitente”.

Sin seguimiento

Obviamente, Tuta no le rastrea cuando utiliza sus correos electrónicos, calendarios o contactos privados. Además, no sólo bloqueamos la carga de contenido externo en los correos electrónicos por motivos de seguridad, sino también para impedir cualquier tipo de rastreo. Cuando recibes imágenes o vídeos por correo electrónico, a menudo contienen píxeles, por ejemplo de agencias de marketing. Bloquear este contenido es crucial porque el correo electrónico es la herramienta favorita de los anunciantes, que intentan rastrearte a ti y a tus hábitos en línea a través de múltiples plataformas.

A la gente de marketing le encanta el correo electrónico porque pueden incluir píxeles de seguimiento incrustando contenido externo que tienes que cargar desde servidores de terceros. A través de estos píxeles, pueden saber si has abierto un correo electrónico, cuándo lo has hecho, si has hecho clic en algún enlace incluido en el correo y mucho más.

Si un cliente de correo carga por defecto contenido externo, como imágenes o vídeos, sin pedir el consentimiento de los usuarios, estos píxeles de seguimiento se cargan junto con los demás datos. Esa es otra razón por la que Tuta Mail bloquea la carga de contenido externo.

La seguridad ante todo

Desde nuestro lanzamiento de Tutanota en 2014, el primer servicio de correo electrónico cifrado de extremo a extremo, nos hemos centrado en la seguridad.

Incluidas en nuestra robusta seguridad hay muchas medidas:

Con todas estas medidas, nos aseguramos de que Tuta Mail sea el proveedor de correo electrónico más seguro. Cuando se trata de proteger su bandeja de entrada de ataques maliciosos, Tuta Mail es la mejor opción, y en la que ya confían millones de personas. Gracias a su compromiso inquebrantable con la aplicación de medidas de seguridad de vanguardia, los usuarios pueden estar seguros de que sus correos electrónicos están protegidos contra ataques XSS y otras ciberamenazas.

Puede encontrar más información sobre nuestros elevados estándares de seguridad en nuestra página de seguridad.