Para el cifrado de email entre dos usuarios de Tuta se aplica un procedimiento estandarizado e híbrido de un algoritmo simétrico y un algoritmo asimétrico. Tuta usa AES con una longitud de 256 bit y RSA con 2048 bit or una combinación de ECDH (x25519) y Kyber-1024 (para cuentas seguras contra ataques cuánticos). Los correos electrónicos enviados a receptores externos son cifrados simétricamente con AES 256 bit.
Por defecto, no registramos las direcciones IP ni cuando inicias sesión ni cuando envías un correo electrónico. Las direcciones IP de los correos electrónicos enviados y recibidos también se eliminan para que tu ubicación permanezca desconocida.
Sólo registramos direcciones IP de cuentas individuales en caso de actos delictivos graves como asesinatos, pornografía infantil, robos, amenazas de bombas y chantaje, tras un requerimiento de un juez alemán con una orden judicial válida. Puedes encontrar detalles sobre esto en nuestro blog.
Lee en nuestro blog, cómo Tuta lucha contra la vigilancia masiva proporcionando un servicio de correo electrónico anónimo. Al registrarte no es necesario que proporciones ningún dato personal (por ejemplo, no se requiere ningún número de teléfono). También haremos posible pagar por la cuenta Tuta con Bitcoin.
El sistema cifra automáticamente todos los correos electrónicos almacenados en Tuta. Los correos electrónicos entre los usuarios de Tuta se cifran de forma automática de extremo a extremo, los correos electrónicos a los usuarios externos se pueden proteger con la ayuda de una contraseña. Aquí explicamos las diferencias entre un correo electrónico confidencial (cifrado de extremo a extremo) y otro no confidencial.
Independiente del cifrado de extremo a extremo, el transporte entre los servidores cliente y Tuta está asegurado con TSL para maximizar la seguridad.
Mira nuestro tutorial en YouTube sobre la guía de cifrado de correos de Tuta - la guía más rápida sobre cifrado de correos que puedes encontrar.
Tu dirección de correo electrónico eliminada (también si es un alias) no se reciclará por razones de seguridad. No debe haber ninguna posibilidad de que otra persona pueda registrar tu dirección de correo electrónico utilizada anteriormente y luego, por accidente, recibir un correo electrónico confidencial destinado a ti.
Las cuentas gratuitas se eliminan si no se utilizaron durante al menos seis meses. Para prevenir el borrado automático, basta con iniciar sesión. Eliminamos dichas cuentas por razones de seguridad y también para permitirnos ofrecer cuentas Tuta de forma absolutamente gratuita. Sin embargo, las direcciones de correo electrónico de dichas cuentas eliminadas pueden ser tomadas en otra cuenta de pago y reutilizadas como alias de correo electrónico o dirección de usuario adicional si todavía tienes las credenciales de inicio de sesión válidas.
Para reutilizar la dirección de correo electrónico de la cuenta inactiva
A continuación, puedes agregar la dirección perdida como alias (o usuario) a la cuenta de correo electrónico de destino. Lo llamamos fusión de direcciones.
Tus claves privadas y públicas se generan localmente en tu navegador al registrarte. Tu clave privada está encriptada con tu contraseña. De esta manera, tu contraseña de inicio de sesión recibe el estado de la clave privada. La clave está cifrada de forma tan segura que solo tú puedes usarla para cifrar y descifrar datos. Es por eso que una contraseña segura es esencial. Una comprobación automática de la contraseña en el cliente garantiza que se utiliza una contraseña segura. Tu contraseña nunca se transmite al servidor en texto sin formato. Se procesa con «Salt» y luego se hashea con Argon2 localmente en tu dispositivo para que ni el servidor ni nosotros tengamos acceso a tu contraseña. Con este innovador diseño podrás acceder a tu bandeja de entrada encriptada desde cualquier dispositivo (escritorio, móvil) fácilmente.
Tuta no carga imágenes automáticamente al abrir un correo electrónico. Cuando cargues imágenes externas manualmente, ten en cuenta que
Aquí te explicamos cómo presentar imágenes externas. Por favor, lee aquí cómo nos aseguramos de que puedes utilizar Tuta como un servicio de correo electrónico anónimo.
Requerimos que todos los mensajes se autentiquen, si no, el correo electrónico puede venir de cualquier persona y podría ser modificado por lo que siempre debes tratar tales correos electrónicos con escrutinio. Si ves un mensaje que indica que la autenticación ha fallado (aviso rojo de advertencia), debes tener especial cuidado, ya que significa que es probable que el correo electrónico sea falso. Piensa en el correo en papel: cualquiera podría enviarte un correo electrónico y escribir cualquier dirección como "remitente".
El phishing es un nombre para el tipo de estafa en línea en la que los delincuentes tratan de parecerse a un remitente legítimo con el fin de obtener tus datos, tales como credenciales o datos de tarjetas de crédito. Los phishers utilizan técnicas psicológicas muy sofisticadas y desarrollan copias muy realistas de sitios web y correos electrónicos reales.
Si ve un aviso de phishing, significa que algunas partes de este correo electrónico coinciden con nuestras firmas de phishing después de que otros usuarios informaron de correos electrónicos similares, como phishing. Por favor, ten mucho cuidado con estos mensajes. Por lo general, los correos electrónicos de phishing contienen un enlace especial al sitio web que se ve como real, pero en realidad no lo es. Si crees que el correo electrónico es legítimo y abres el enlace, asegúrate de comprobar la URL completa del sitio web: comprueba que lo ves todo, a veces solo se puede intercambiar una parte o un carácter. Aquí hay más información sobre cómo prevenir ataques de phishing por correo electrónico.
Puedes marcar un correo electrónico como no phishing, por lo que ya no verás el mensaje de advertencia para este correo electrónico.
Nunca te enviamos correos electrónicos con enlaces donde necesitas escribir tu contraseña. Te recomendamos que protejas siempre tus credenciales de inicio de sesión con 2FA, ya que esto hace que sea casi imposible para un atacante iniciar sesión en su cuenta.
Si ya has caído en un ataque de phishing, por favor mira aquí .
Nuestros servidores están localizados en un centro certificado con ISO27001 en Alemania. Los datos almacenados están regidos por estrictas leyes de privacidad alemanas. Independientemente de las leyes, los datos están cifrados de extremo a extremo y no pueden ser leídos por la Tutao GmbH o por terceros.
Sí. Puedes ver y cerrar sesiones activas de forma remota en Ajustes -> login.
Consulta nuestro procedimiento para obtener información sobre cómo habilitar el almacenamiento de sesiones cerradas para monitorear si otra persona tiene acceso a tu cuenta. Para garantizar la privacidad de los usuarios, hemos implementado la función de la siguiente manera:
Tuta encripta todos los datos almacenados en tu buzón (contactos, correos electrónicos, firma de correo electrónico, reglas de bandeja de entrada, datos de facturas, método de pago, certificado y claves privadas de tus propios dominios). Al enviar un correo electrónico, Tuta encripta el asunto, el contenido y los archivos adjuntos automáticamente.
Puedes encontrar una explicación detallada de lo que Tuta encripta en nuestra página de correo encriptado
Sólo podemos leer los siguientes metadatos:
Ya estamos buscando posibilidades de ocultar los metadatos también.
Gracias por tomarte el tiempo para informar de una vulnerabilidad. Si has encontrado algún problema de seguridad, por favor envíanos un correo electrónico en inglés o alemán con un informe detallado para que podamos solucionarlo.
En Tuta nos preocupamos al máximo por asegurar al máximo tu buzón. El código de Tuta es de código abierto y está publicado en Github, e invitamos a todos los expertos en seguridad a revisarlo.
Puedes asegurar el inicio de sesión de la aplicación almacenada con un pin, patrón o datos biométricos (huella dactilar, Face ID, etc.). Ve a Configuración -> Inicio de sesión -> Credenciales de inicio de sesión, para activarlo.
Esta opción aparecerá sólo después de que hayas guardado tus credenciales de acceso en la app de Tuta. Una vez que accedas, marca la casilla de 'Guardar contraseña' para guardar tus credenciales de acceso.
Tuta usa un indicador de fortaleza de contraseñas que tiene en cuenta varios aspectos de la contraseña para asegurar que escoges una a juego con tu cuenta de correo seguro. Encontrarás consejos adicionales para elegir una contraseña segura, (en inglés) aquí.
Tuta no tiene límites en lo referente a longitud de tu contraseña y puedes usar todos los caracteres, incluyendo todos los caracteres de Unicode.
Si haces clic en «cerrar sesión», terminas la sesión. Ten en cuenta: Si has guardado previamente la contraseña, se cerrará la sesión, pero la contraseña todavía se guarda para el inicio de sesión automático. Para 'des-guardar' la contraseña, por favor, desconéctate. Aparece la pantalla de inicio de sesión, haz clic en «más» y luego en «eliminar credenciales».
Una contraseña segura es aquella que es lo suficientemente aleatoria como para que no se pueda adivinar en un período de tiempo factible. Pero las cadenas aleatorias de caracteres alfanuméricos son difíciles de recordar. Es por eso que hemos implementado un generador de frases de contraseña que encuentra un buen equilibrio entre seguridad y memorabilidad. El generador elige seis palabras fáciles de una enorme lista curada y genera una frase de contraseña que es segura y fácil de escribir y recordar. Aquí hay más consejos sobre cómo crear y recordar una contraseña segura.
Nunca se transmite tu contraseña al servidor en texto, sino que es «salted» localmente y «hashed» con Argon2 antes de enviarse a Tuta. Se considera Argon2 como el procedimiento más seguro, porque ataques de fuerza bruta tardan mucho más comparado con otros procedimientos como MD5 o SHA. De esta manera se mantiene la confidencialidad completa mientras tú puedes acceder a tu buzón cifrado fácilmente desde cualquier dispositivo.
No. Si una contraseña está utilizada para la autenticación (login), no es necesario que el servidor la conozca. Basta con que el servidor tenga un «hash» de la contraseña. En Tuta se calcula tu «hash» para la autenticación en el navegador y luego se lo envía al servidor. Nunca se envía tu contraseña por el internet en «texto plano», y nuestro servidor tampoco ve la contraseña en ningún momento. Los «Hashes» no son reversibles, así que el servidor no puede descubrir la contraseña conociendo el «hash». De esta manera, el servidor puede descodificar tus mensajes, pero no puede iniciar tu sesión.
Se recomienda la lectura del artículo en inglés: Learn how Tuta automatizes the encryption process while leaving you in full control of your encrypted data.
Si crees que tu contraseña fue revelada a otra persona pero todavía puedes iniciar sesión en tu cuenta, haz lo siguiente:
Si el atacante ya ha iniciado sesión y se encuentra aún en tu cuenta, habrá sido automáticamente expulsado al cambiar tu contraseña.
Te animamos a usar siempre 2FA con tus cuentas, ya que hace casi imposible que un atacante inicie sesión en tu cuenta.
Si ya no puedes iniciar sesión en tu cuenta, consulta aquí.