¿Cuál es el servicio de correo electrónico más seguro?

Encriptación total, ausencia de seguimiento, código abierto: hay muchos factores que hacen de Tutanota el proveedor de correo electrónico más seguro del mundo.

Which is the most secure email service? We argue that it is Tutanota, and the facts are in our favor.

La privacidad y la seguridad son cada vez más populares, por lo que cada vez más servicios intentan promocionarse como el proveedor de correo electrónico más seguro. Pero la seguridad y la privacidad son mucho más que la simple encriptación de los datos. La mayoría de las veces, estas afirmaciones no son más que reclamos de marketing (mirándote a ti, Gmail). Hemos recopilado los hechos y explicamos en detalle por qué Tutanota es el proveedor de correo electrónico más seguro del mundo.


Cuando compruebe la seguridad y privacidad de cualquier servicio en línea, hágase siempre las siguientes preguntas

  1. ¿Quién lo paga? ¿Los usuarios o los anunciantes? Si la respuesta es “los anunciantes”, el servicio nunca podrá ofrecer una solución verdaderamente segura y privada. Su máxima prioridad es la felicidad de los anunciantes, normalmente ofreciéndoles acceso a los perfiles de los usuarios. La protección de la intimidad de los usuarios siempre debe quedar en segundo lugar con un modelo de negocio de este tipo.
  2. ¿Quién controla la pila tecnológica? Se trata de una cuestión muy técnica, pero de crucial importancia. Si un servicio utiliza “tecnología” de terceros, como el reCaptcha de Google o el servicio de notificaciones push de Google, puede estar seguro de que la seguridad y la privacidad no pueden ser su principal prioridad, ya que el proveedor filtra a sabiendas información a Google, sin advertir a los usuarios de ello.
  3. ¿Qué datos están cifrados de extremo a extremo? Muchos proveedores de correo electrónico afirman que los datos almacenados con ellos están “encriptados”. Lo que hace que esta pregunta sea tan importante es cómo se encriptan los datos. Porque sólo cuando los datos están encriptados de extremo a extremo, son realmente inaccesibles tanto para el servicio en línea como para otros terceros. Por eso no basta con “encriptar” los datos, sino que éstos deben estar cifrados de extremo a extremo.

Ahora que sabemos lo que hay que buscar en el servicio de correo electrónico más seguro, veamos quién cumple todos los requisitos.

¿Qué hace que un proveedor de correo electrónico sea “el más seguro”?

Basándonos en las preguntas anteriores, hay muchos factores que hay que tener en cuenta a la hora de decidir si un servicio de correo electrónico es el más seguro o no.

Factores que definen el nivel de seguridad

  1. Control de la pila de software
  2. Encriptación de todos los datos
  3. Protección de la privacidad
  4. Enfoque en el código abierto
  5. Mejor protección del inicio de sesión
  6. Protección del protocolo de correo electrónico
  7. Calendario de conocimiento cero
  8. Encriptación segura post-cuántica

1. Control de la pila de software

Muchos servicios de correo electrónico utilizan tecnología de terceros para construir su propio servicio.

Cada vez que un servicio supuestamente seguro utiliza aplicaciones de terceros, resulta más difícil asegurar dicho servicio.

Por supuesto, en Tutanota tampoco podemos reinventar la rueda. Pero hemos construido todos nuestros clientes - web, Android, iOS, y todos los clientes de escritorio por nuestra cuenta.

Comprueba aquí por qué recomendamos elegir nuestros clientes de escritorio seguros para Linux, Windows y macOS y por qué es tan importante que hayamos construido nuestro propio captcha de código abierto.

Para asegurarnos de que incluso las herramientas de código abierto de terceros que utiliza Tutanota son seguras, iniciamos regularmente revisiones de seguridad de estas herramientas, así como de nuestros propios clientes, por ejemplo cuando sacamos nuestros clientes de escritorio de la versión beta.

Sólo con el código abierto, tanto de nuestros propios clientes como del software del que depende Tutanota, los expertos en tecnología pueden auditar el código y verificar que Tutanota está haciendo lo que promete: asegurar al máximo sus correos electrónicos privados.

2. Encriptación de todos los datos

Tutanota es el servicio de correo electrónico más seguro del mundo porque protegemos sus datos en todos los extremos. Ya sea en nuestros servidores, o en tus dispositivos: En Tutanota todos los datos están siempre encriptados de extremo a extremo.

Cuando se ofrece un servicio seguro, la gente confía en que se hace bien la seguridad. Para nosotros, esto significa que nunca puede haber un compromiso cuando se trata de la seguridad.

La seguridad debe estar integrada en el código para poder añadir fácilmente la usabilidad, y no al revés.

Este concepto de “la seguridad es lo primero” ha llevado a varias decisiones de desarrollo que hoy en día garantizan la seguridad de primera categoría de Tutanota:

  • No utilizamos PGP, sino una implementación ligeramente diferente de AES y RSA, que nos permite encriptar muchos más datos (líneas de asunto), así como encriptar todas las demás funciones que añadimos a Tutanota, como los contactos y los calendarios, que están 100% encriptados.
  • No buscamos tus datos en el servidor porque allí están encriptados. En su lugar, Tutanota construye un índice de búsqueda encriptado, que se almacena localmente y se busca allí. Esto permite que Tutanota busque todos sus correos electrónicos (remitente, destinatario, línea de asunto, cuerpo, archivos adjuntos) localmente mientras protege su privacidad.
  • No ofrecemos IMAP, ya que sólo funcionaría si enviáramos los datos descifrados a tu dispositivo. En su lugar, hemos creado nuestros propios clientes de escritorio de código abierto, que almacenan tus datos encriptados. Los clientes de escritorio también están firmados para que todos puedan verificar que el cliente está ejecutando exactamente el mismo código que el publicado en GitHub.

Cifrado de extremo a extremo

Desde el principio, en Tutanota incorporamos el cifrado de extremo a extremo en el código. Tutanota fue el primer proveedor de correo electrónico cifrado de extremo a extremo del mundo y, a día de hoy, es el servicio de correo electrónico que más datos cifra.

Puedes consultar aquí todos los datos que encripta Tutanota:

  • Los correos electrónicos, incluyendo las líneas de asunto y los archivos adjuntos.
  • Las entradas del calendario, incluso los metadatos como quién asiste
  • Toda la libreta de direcciones, no sólo partes de los contactos

Tutanota encripta automáticamente todos los correos electrónicos entre los usuarios de Tutanota de principio a fin, lo que supone una gran diferencia para la seguridad en línea en su conjunto. Tutanota incluso te permite enviar correos electrónicos cifrados de extremo a extremo a cualquier persona.

Ende-zu-Ende verschlüsselte E-Mail in Tutanota, dem sichersten E-Mail-Anbieter. Ende-zu-Ende verschlüsselte E-Mail in Tutanota, dem sichersten E-Mail-Anbieter.

Nunca enviamos datos sin cifrar

Cada vez que te comunicas con Tutanota -recibir una notificación sobre un nuevo correo electrónico, ejecutar una búsqueda, introducir una entrada en el calendario, añadir un nuevo contacto a tu agenda- tus datos siempre se envían cifrados de extremo a extremo. Nunca enviamos datos sin cifrar a través de notificaciones, y nunca permitimos que se almacenen datos sin cifrar en tu dispositivo.

Incluso cuando buscas en tu buzón encriptado en Tutanota, el índice de búsqueda se encripta y se almacena localmente antes de que puedas buscar tus datos de forma segura.

3. Protección de la privacidad

Correo electrónico anónimo

Nuestro modelo de negocio es diferente a la mayoría de los servicios de correo electrónico: Debido a la encriptación, no podemos escanear tus correos electrónicos y no te rastreamos. No enviamos publicidad dirigida a su buzón de correo.

Por defecto, Tutanota no registra las direcciones IP cuando te conectas o cuando envías un correo electrónico. Al registrarse no necesita proporcionar ningún dato personal (por ejemplo, al registrar una cuenta de correo electrónico no se requiere un número de teléfono), incluso cuando se registra a través de Tor.

Tutanota elimina las direcciones IP de los correos electrónicos enviados de las cabeceras de los mismos, de modo que su ubicación permanece desconocida.

No se permite el rastreo

Obviamente, Tutanota en sí no te rastrea cuando usas Tutanota.

Además, Tutanota bloquea el rastreo al no cargar las imágenes automáticamente. Esto es importante porque el correo electrónico es la herramienta favorita de los vendedores que quieren rastrear todo lo que haces en línea.

Los correos electrónicos permiten a los vendedores rastrear al usuario mediante la inclusión de píxeles de seguimiento que muestran al remitente quién abrió un correo electrónico y cuándo, si hizo clic en los enlaces contenidos, y más. Estos píxeles de seguimiento son contenido externo en un correo electrónico, que debe ser cargado.

Si un cliente de correo carga contenido externo, como imágenes, automáticamente, estos píxeles de seguimiento también se cargan. Tutanota bloquea esto para asegurarse de que sólo se carga el contenido externo cuando se acepta activamente ser rastreado por el remitente.

4. Centrarse en el código abierto

Hemos publicado todos los clientes de correo electrónico como código abierto para que los expertos en seguridad puedan comprobar el código.

De esta manera nos aseguramos de que nunca pueda haber una puerta trasera de encriptación en Tutanota.

Junto con este enfoque en el código abierto, no utilizamos ningún servicio de Google, como Google Push (FCM) o Google reCaptcha, para asegurarnos de que este gigante de Silicon Valley no pueda rastrearte mientras revisas tu buzón seguro o tu calendario encriptado.

5. La mejor protección de inicio de sesión

Tutanota te permite crear la contraseña más segura al permitirte elegir una contraseña tan larga como quieras.

Nunca transmitimos su contraseña al servidor, sino que sólo enviamos un hash. Como es imposible obtener la contraseña real a partir de este hash, nunca podremos hacernos con su contraseña.

También permitimos a todos los usuarios activar la autenticación de dos factores (2FA) con un token de hardware (U2F) o con una aplicación de autenticación (TOTP).

Zwei-Faktor-Authentifizierung in Tutanota. Zwei-Faktor-Authentifizierung in Tutanota.

A la hora de restablecer las contraseñas, Tutanota ha elegido la forma más segura: Sólo los usuarios pueden restablecer sus contraseñas con sus códigos de recuperación. Esto es crucial porque otros métodos para restablecer las contraseñas, por ejemplo, el envío de un correo electrónico de restablecimiento de contraseña, son propensos a ataques dirigidos que permitirían a terceros tomar el control de las cuentas de forma maliciosa. Como servicio de correo electrónico seguro, debemos asegurarnos de que las cuentas de nuestros usuarios no puedan ser robadas con métodos tan simples.

Comprueba aquí por qué nuestro sistema es la opción de restablecimiento de contraseña más segura. Para maximizar su propia protección de inicio de sesión, también recomendamos leer nuestra guía de seguridad de correo electrónico.

También te recomendamos encarecidamente que utilices un gestor de contraseñas para asegurarte de que nunca pierdes tu contraseña y tu código de recuperación.

6. Asegurar el protocolo de correo electrónico

Al enviar correos electrónicos con Tutanota, has elegido claramente la opción más segura, ya que Tutanota permite cifrar automáticamente los correos electrónicos de extremo a extremo.

Sin embargo, a veces es necesario enviar y recibir correos electrónicos sin cifrar. Es mucho más difícil asegurar estos correos electrónicos porque en tal caso el proveedor de correo electrónico sólo puede encriptar la transmisión - no los datos en sí. Además, hay otros servicios que forman parte del proceso de envío y que también deben asegurarse de que la transmisión se realiza de forma segura, por ejemplo, el proveedor receptor.

Para asegurar los correos electrónicos no encriptados lo mejor posible, nos adherimos a los estándares más altos posibles del protocolo de correo electrónico SMTP.

Tutanota soporta MTA-STS. Este estándar debería ser soportado por todos los servicios de correo electrónico ya que es para un correo electrónico lo que el HTTPS estricto es para un sitio web: Hace que se aplique el cifrado de transporte (TLS) siempre que sea posible TLS.

Tutanota también soporta SPF, DKIM y DMARC. Estos tres protocolos son necesarios para reforzar la infraestructura contra la intrusión de correos electrónicos de phishing y spam.

Tutanota añade otra capa a esta protección al permitir a sus usuarios informar de los correos electrónicos de phishing. Esta función de denuncia también funciona con conocimiento cero:

Cuando se denuncia un correo electrónico, se crean firmas a partir de él (hashes de diferentes campos). Cuando otro usuario se conecta, estas firmas se descargan. Al abrir un correo electrónico, Tutanota calcula los hashes de los diferentes campos del correo y los compara con los descargados que han sido reportados. Esto ocurre localmente en el cliente. Si hay suficientes coincidencias, el correo electrónico se considera como phishing y se marca en consecuencia.

Como puede ver en este ejemplo: Nos tomamos muy en serio su privacidad en cada paso, incluso cuando se denuncian posibles correos electrónicos de phishing. Ni siquiera queremos ver estos correos en texto claro, ya que la denuncia podría haber ocurrido accidentalmente.

Warnung über unechten Absender in Tutanota. Warnung über unechten Absender in Tutanota.

7. Calendario de conocimiento cero

Hemos construido el primer calendario cifrado de extremo a extremo. El calendario de Tutanota encripta todos los datos, incluso los asistentes a un evento se almacenan encriptados.

El calendario es el único de conocimiento cero que existe, porque incluso cuando recibes una notificación push de un próximo evento, hemos construido este servicio de recordatorio de tal manera que nuestros servidores nunca ven la notificación. Esto mantendrá a nuestros servidores en la oscuridad no sólo sobre qué evento tienes, sino también cuando tus eventos tienen lugar.

Cualquier calendario que tenga notificaciones por correo electrónico -incluso cuando está encriptado- no puede considerarse de conocimiento cero. Por eso nos hemos esforzado en enviar notificaciones encriptadas directamente a los clientes de Tutanota, por ejemplo a nuestras aplicaciones de escritorio y móviles. La gran ventaja de las aplicaciones móviles es que también recibes estos recordatorios cuando no estás usando activamente la aplicación.

Consulta nuestro post sobre nuestro primer lanzamiento del calendario para saber por qué las notificaciones encriptadas son tan importantes para proteger tu privacidad.

8. Encriptación segura post-cuántica

Tutanota no sólo es el servicio de correo electrónico más seguro en este momento, también planeamos seguir siendo el más seguro en el futuro.

Por eso ya hemos empezado a trabajar en el cifrado seguro postcuántico. Lanzamos el proyecto PQ Mail en 2020 y ahora tenemos un prototipo que nos permite cifrar los correos electrónicos con un protocolo híbrido que combina nuestros algoritmos de cifrado probados con algoritmos seguros postcuánticos.

En este post explicamos por qué necesitamos ahora una criptografía resistente a la cuántica. Una pequeña pista: es necesario adelantarse a la NSA y a otros que quieren utilizar ordenadores cuánticos para desencriptar comunicaciones pasadas.

Lucha por tu derecho a la privacidad

En Tutanota nos comprometemos a luchar por tu derecho a la privacidad con la tecnología. Queremos asegurarnos de que la vigilancia masiva, así como el capitalismo de la vigilancia, se vuelvan imposibles aplicando el cifrado de extremo a extremo a todos los datos posibles.

Disfruta del proveedor de correo electrónico más seguro, Tutanota, registrándote ahora

Juntos haremos que Internet sea más seguro.