Diferencias en el cifrado de los correos electrónicos

A medida que aumenta la importancia de la codificación del correo electrónico, cada vez más servicios de correo electrónico afirman codificar. ¿Pero cuáles son las diferencias?

La encriptación del correo electrónico se utiliza más que nunca. Pero la encriptación del correo electrónico no es igual a la encriptación del correo electrónico. Hay grandes diferencias dependiendo de CÓMO el proveedor de correo electrónico encripta los correos electrónicos. Echemos un vistazo a las diferencias de la encriptación de correo electrónico para que puedas tomar una decisión informada sobre cuál es el mejor servicio de correo electrónico seguro.


En el pasado, la codificación del correo electrónico solía ser muy complicada y, por lo tanto, apenas se utilizaba. Esto ha cambiado con el auge de los servicios de correo electrónico encriptado como Tutanota. Nuestros usuarios ya encriptan dos tercios de sus correos electrónicos de principio a fin.

Otros proveedores de correo electrónico también tienen opciones para encriptar correos electrónicos, pero las diferencias son enormes y no siempre son claras a primera vista. Así que echemos un vistazo a qué tipos de encriptación de correo electrónico hay y cómo se aplican.

En primer lugar, tenemos que considerar algunas cosas cuando comparamos diferentes tipos de encriptación de correo electrónico:

Cifrado en la transmisión

  • Quién encripta (cliente/servidor)
  • Con qué se cifran los datos (clave pública para el cifrado de extremo a extremo o TLS)

Cifrado en reposo

  • Quien encripta (cliente/servidor)
  • Con qué datos se encriptan (contraseña de usuario o clave común)

También necesitamos siempre mirar qué datos están encriptados: Esto puede ser el contenido del correo electrónico o los metadatos como los nombres de los remitentes y las líneas de asunto.

Cada uno de estos métodos debe ser considerado cuando se comparan los servicios de correo electrónico encriptado. Para maximizar la seguridad de sus datos, lo mejor es que el proveedor de servicios encripte la mayor cantidad de datos posible y no tenga acceso a los datos encriptados.

Diferencias en el cifrado de los correos electrónicos

Transmisión codificada de correos electrónicos

Para enviar un correo electrónico de forma segura, lo mínimo que se necesita es la codificación TLS para la transmisión.

Es una protección contra los fisgones pasivos como los ISPs. El método de encriptación es construir un túnel encriptado entre los servidores de correo para que los correos electrónicos no puedan ser espiados mientras se envían de un servidor a otro. Ningún correo electrónico en 2020 debe ser enviado en texto plano, es decir, sin encriptación TLS, punto.

Para una máxima seguridad, también se debe aplicar una encriptación de extremo a extremo. Para ello, los datos deben ser encriptados con la clave privada a la que sólo puede acceder el usuario, de modo que cualquier tercero quede fuera de la conversación.

Este es el caso si usas PGP y administras la clave privada tú mismo. Este es también el caso si utilizas Tutanota donde tu clave privada se encripta con la ayuda de tu contraseña en el cliente para que Tutanota pueda gestionar la clave por ti, asegurándose de que sólo la persona que conoce la contraseña (=tú) es capaz de desencriptar la clave privada.

Para que la encriptación de extremo a extremo sea efectiva, la clave privada debe ser propiedad del usuario e inaccesible para el proveedor. Esto puede lograrse protegiendo la clave privada con la contraseña del usuario como en Tutanota, pero algunos proveedores no lo hacen correctamente.

Por ejemplo, Gmail permite a sus usuarios subir sus “claves privadas” a los servidores con Open PGP, ya que Gmail ha abandonado su proyecto de verdadera encriptación de extremo a extremo hace mucho tiempo. Como todo cifrado del lado del servidor, esto no es realmente digno de confianza.

Cuando se codifican los datos del cliente, la codificación se realiza antes de su envío. De esta forma, ningún tercero, ni siquiera el servidor del proveedor de correo electrónico ve sus correos electrónicos. Si todos los clientes que manejan la encriptación son de código abierto - como es el caso de Tutanota - la gente experta en tecnología también puede verificar que la encriptación se hace correctamente y no puede ser retrocedida.

Este tipo de cifrado de extremo a extremo, en el que la clave privada sólo es accesible para el usuario, es muy preferible a confiar únicamente en el cifrado TLS.

Es más, con Tutanota puedes enviar un correo electrónico encriptado en segundos. Comprueba aquí cómo.

Cifrado en reposo

Cuando los correos electrónicos han llegado al punto final - el servidor de su proveedor de correo electrónico, los datos pueden ser almacenados encriptados. Esto es encriptación en reposo.

La mayoría de los proveedores encriptan todo con una sola clave. Eso es lo mínimo si el proveedor quiere proteger sus datos de correo electrónico de atacantes maliciosos. El cifrado en reposo no protege de los propios propietarios del servicio, no protege de las órdenes legales pero posiblemente puede ayudar si el propio disco es robado.

Para el “cifrado en reposo”, los proveedores también pueden cifrar los datos con la contraseña del usuario, pero en el lado del servidor. Este método parece ser seguro ya que el usuario tiene la impresión de que sólo él mismo con su contraseña puede desbloquear la clave privada. Sin embargo, cada vez que el usuario se conecta, es necesario confiar en el servidor para que envíe los datos desencriptados al usuario, pero no hay garantía de que los datos desencriptados no se envíen a otro lugar simultáneamente.

Riseup utiliza este método para encriptar los datos en reposo. Este método de encriptación es mejor que nada y probablemente puede ayudar al proveedor por no estar obligado a cumplir con algunas órdenes legales. Sin embargo, requiere que el usuario confíe en última instancia en el proveedor de servicios porque no se puede verificar lo que está ocurriendo en el lado del servidor. Esto tampoco ayuda mucho si el propio servidor está comprometido.

Qué datos están encriptados

También es importante mirar qué datos están encriptados. Por ejemplo, las soluciones basadas en OpenPGP, como Protonmail, sólo pueden encriptar partes de los correos electrónicos: el cuerpo y los adjuntos. Este enfoque es un artefacto histórico y conduce a numerosas vulnerabilidades de seguridad como lo demuestra el efail.

Tutanota no confía en PGP para asegurar que sus datos se mantengan seguros. De esta manera Tutanota también puede encriptar muchos más datos: cuerpo, adjuntos, líneas de asunto y nombres de remitentes. Los únicos datos que quedan en Tutanota que aún no están encriptados son las direcciones de correo electrónico y las horas de los correos electrónicos.

Hemos logrado encriptar todos los metadatos, incluyendo los momentos en que se producen los eventos, con nuestro calendario encriptado, pero con los correos electrónicos esto es más complicado debido a la forma en que funciona el protocolo de correo electrónico.

Además de la encriptación, también es importante que un proveedor de correo electrónico se ocupe de muchas otras medidas de seguridad, como la autenticación de dos factores, la eliminación de las direcciones IP, la no carga de imágenes automáticamente, y más. Aprende aquí qué medidas de seguridad son esenciales.

En Tutanota trabajamos duro para desarrollar el servicio de correo electrónico más seguro posible.

Feliz encriptación. 😀