Preguntas Más Frecuentes

¿Cómo podemos ayudarte?
Tabla de contenidos
Seguridad y Privacidad• ¿Qué algoritmos de cifrado utiliza Tuta?• ¿Tuta registra direcciones IP o puedo usar mi buzón cifrado de forma anónima?• ¿Cómo funciona el cifrado extremo a extremo de Tuta?• ¿También están cifrados mis contactos en Tuta?• ¿Dónde se cifran los datos?• ¿Cómo puedo ver los encabezados en mi buzón cifrado?• ¿Borráis o recicláis cuentas inactiva o direcciones de correo?• ¿Dónde se generan mis claves y cómo se protege mi clave privada?• ¿Por qué se bloquea automáticamente la carga de imágenes en Tuta?• Uno de mis correos electrónicos tiene una advertencia que indica que falta o ha fallado la autenticación de correo. ¿Qué significa eso?• Uno de mis correos electrónicos muestra una advertencia de phishing. ¿Qué significa eso?• ¿Dónde están localizados los servidores de Tuta?• ¿Puedo desactivar sesiones de forma remota (manejo de sesiones)?• ¿Qué está cifrado y qué podéis leer?• ¿Dónde puedo reportar un problema de seguridad o una vulnerabilidad que encontré en Tuta?
Tu Contraseña en Tuta• ¿Puedo desbloquear la aplicación con un pin o datos biométricos (huella digital, Face ID)?• ¿Cómo elegir una contraseña segura?• Al cerrar la sesión de Tuta, el navegador o la aplicación siempre se inicia de nuevo. ¿Qué puedo hacer para detenerlo?• ¿Cómo funciona el generador de frases de contraseña?• ¿Cuál es la función de hash usada para la contraseña?• Tuta asegura mi clave privada con mi contraseña. ¿Podéis acceder a ella?• Me robaron mi contraseña. ¿Qué debo hacer ahora?• ¿Dónde puedo ver mi código de recuperación?

Seguridad y Privacidad

¿Qué algoritmos de cifrado utiliza Tuta?

Para el cifrado de email entre dos usuarios de Tuta se aplica un procedimiento estandarizado e hibrido de un algoritmo simétrico y un algoritmo asimetrico. Utilizamos
AES con una longitud de 256 bit y RSA con 2048 bit. Correos electrónicos enviados a receptores son cifrados simétricamente con AES 256 bit.

¿Tuta registra direcciones IP o puedo usar mi buzón cifrado de forma anónima?

Por defecto, no registramos las direcciones IP ni cuando inicias sesión ni cuando envías un correo electrónico. Las direcciones IP de los correos electrónicos enviados y recibidos también se eliminan para que tu ubicación permanezca desconocida.

Sólo registramos direcciones IP de cuentas individuales en caso de actos delictivos graves como asesinatos, pornografía infantil, robos, amenazas de bombas y chantaje, tras un requerimiento de un juez alemán con una orden judicial válida. Puedes encontrar detalles sobre esto en nuestro blog.

Lee en nuestro blog, cómo Tuta lucha contra la vigilancia masiva proporcionando un servicio de correo electrónico anónimo. Al registrarte no es necesario que proporciones ningún dato personal (por ejemplo, no se requiere ningún número de teléfono). También haremos posible pagar por la cuenta Tuta con Bitcoin.

¿Cómo funciona el cifrado extremo a extremo de Tuta?

El sistema cifra automáticamente todos los correos electrónicos almacenados en Tuta. Los correos electrónicos entre los usuarios de Tuta se cifran de forma automática de extremo a extremo, los correos electrónicos a los usuarios externos se pueden proteger con la ayuda de una contraseña. Aquí explicamos las diferencias entre un correo electrónico confidencial (cifrado de extremo a extremo) y otro no confidencial.

Independiente del cifrado de extremo a extremo, el transporte entre los servidores cliente y Tuta está asegurado con TSL para maximizar la seguridad.

Mira nuestro tutorial en YouTube sobre la guía de cifrado de correos de Tuta - la guía más rápida sobre cifrado de correos que puedes encontrar.

¿También están cifrados mis contactos en Tuta?

Sí, todos los datos que guardas en Tuta están cifrados extremo a extremo. Sólo tú puedes acceder tus datos. Escanearlos no es posible.

¿Dónde se cifran los datos?

El cifrado y descifrado de datos siempre ocurre localmente en tu dispositivo al iniciar sesión. Todos los datos están cifrados de extremo a extremo y solo tú puedes accederlos con tu contraseña.

¿Cómo puedo ver los encabezados en mi buzón cifrado?

Puedes mostrar los encabezados de los correos electrónicos recibidos pulsando el atajo H. Tuta elimina los encabezados de los correos electrónicos enviados para proteger tu privacidad.

Para mostrar todos los atajos en Tuta, presiona F1 (Fn & F1).

¿Borráis o recicláis cuentas inactiva o direcciones de correo?

Tu dirección de correo electrónico eliminada (también si es un alias) no se reciclará por razones de seguridad. No debe haber ninguna posibilidad de que otra persona pueda registrar tu dirección de correo electrónico utilizada anteriormente y luego, por accidente, recibir un correo electrónico confidencial destinado a ti.

Las cuentas gratuitas se eliminan si no se utilizaron durante al menos seis meses. Para prevenir el borrado automático, basta con iniciar sesión. Eliminamos dichas cuentas por razones de seguridad y también para permitirnos ofrecer cuentas Tuta de forma absolutamente gratuita. Sin embargo, las direcciones de correo electrónico de dichas cuentas eliminadas pueden ser tomadas en otra cuenta de pago y reutilizadas como alias de correo electrónico o dirección de usuario adicional si todavía tienes las credenciales de inicio de sesión válidas.

Para reutilizar la dirección de correo electrónico de la cuenta inactiva

  1. Debes crear una cuenta de correo electrónico Prémium (o el usuario de cualquier cuenta de Tuta de pago que ya tengas como cuenta de destino).
  2. Inicia sesión en tu cuenta perdida.
  3. Haz clic en «Ayuda».
  4. Introduce la «Dirección de la cuenta de destino» (y - si habilitaste la autenticación de dos factores - el código de recuperación de la dirección perdida).

A continuación, puedes agregar la dirección perdida como alias (o usuario) a la cuenta de correo electrónico de destino. Lo llamamos fusión de direcciones.

¿Dónde se generan mis claves y cómo se protege mi clave privada?

Las claves privada y pública se generan localmente en el navegador al momento de registrarte. La clave privada está cifrada con tu contraseña. De esta manera, tu contraseña obtiene el estado de tu clave privada. La clave está cifrada tan fuerte que sólo tú puedes utilizarla para encriptar y desencriptar. Por eso una contraseña segura está fundamental. Un sistema automático comprueba que uses una contraseña fuerte. Nunca se transmite la contraseña al servidor sin codificarla, sino que se etiqueta con un valor inicial aleatorio (salt value) y después es codificada ("hash") con bcrypt localmente en tú dispositivo para que ambos el servidor y nosotros mismos no tengamos acceso a tu contraseña. Con éste diseño innovativo puedes acceder tu buzón cifrado con todos los dispositivos (escritorio, móvil) fácilmente.

¿Por qué se bloquea automáticamente la carga de imágenes en Tuta?

Tuta no carga imágenes automáticamente al abrir un correo electrónico. Cuando cargues imágenes externas manualmente, ten en cuenta que

  • alguien sabe que has leído el correo electrónico.
  • alguien puede añadir cookies a tu navegador (si tu navegador no está configurado para rechazarlas).
  • alguien puede rastrear tu ubicación mediante tu dirección IP.
  • alguien puede rastrear los parámetros de tu dispositivo.

Aquí te explicamos cómo presentar imágenes externas. Por favor, lee aquí cómo nos aseguramos de que puedes utilizar Tuta como un servicio de correo electrónico anónimo.

Uno de mis correos electrónicos tiene una advertencia que indica que falta o ha fallado la autenticación de correo. ¿Qué significa eso?

Requerimos que todos los mensajes se autentiquen, si no, el correo electrónico puede venir de cualquier persona y podría ser modificado por lo que siempre debes tratar tales correos electrónicos con escrutinio. Si ves un mensaje que indica que la autenticación ha fallado (aviso rojo de advertencia), debes tener especial cuidado, ya que significa que es probable que el correo electrónico sea falso. Piensa en el correo en papel: cualquiera podría enviarte un correo electrónico y escribir cualquier dirección como "remitente".

Uno de mis correos electrónicos muestra una advertencia de phishing. ¿Qué significa eso?

El phishing es un nombre para el tipo de estafa en línea en la que los delincuentes tratan de parecerse a un remitente legítimo con el fin de obtener tus datos, tales como credenciales o datos de tarjetas de crédito. Los phishers utilizan técnicas psicológicas muy sofisticadas y desarrollan copias muy realistas de sitios web y correos electrónicos reales.

Si ve un aviso de phishing, significa que algunas partes de este correo electrónico coinciden con nuestras firmas de phishing después de que otros usuarios informaron de correos electrónicos similares, como phishing. Por favor, ten mucho cuidado con estos mensajes. Por lo general, los correos electrónicos de phishing contienen un enlace especial al sitio web que se ve como real, pero en realidad no lo es. Si crees que el correo electrónico es legítimo y abres el enlace, asegúrate de comprobar la URL completa del sitio web: comprueba que lo ves todo, a veces solo se puede intercambiar una parte o un carácter. Aquí hay más información sobre cómo prevenir ataques de phishing por correo electrónico.

Puedes marcar un correo electrónico como no phishing, por lo que ya no verás el mensaje de advertencia para este correo electrónico.

Nunca te enviamos correos electrónicos con enlaces donde necesitas escribir tu contraseña. Te recomendamos que protejas siempre tus credenciales de inicio de sesión con 2FA, ya que esto hace que sea casi imposible para un atacante iniciar sesión en su cuenta.

Si ya has caído en un ataque de phishing, por favor mira aquí .

¿Dónde están localizados los servidores de Tuta?

Nuestros servidores están localizados en un centro certificado con ISO27001 en Alemania. Los datos almacenados están regidos por estrictas leyes de privacidad alemanas. Independientemente de las leyes, los datos están cifrados de extremo a extremo y no pueden ser leídos por la Tutao GmbH o por terceros.

¿Puedo desactivar sesiones de forma remota (manejo de sesiones)?

Sí. Puedes ver y cerrar sesiones activas de forma remota en Ajustes -> login.

Consulta nuestro procedimiento para obtener información sobre cómo habilitar el almacenamiento de sesiones cerradas para monitorear si otra persona tiene acceso a tu cuenta. Para garantizar la privacidad de los usuarios, hemos implementado la función de la siguiente manera:

  • La dirección IP se almacena cifrada, y sólo el usuario puede descifrar esta información. Nadie más, ni siquiera nosotros en Tuta, puede acceder a esta información.
  • Las direcciones IP solo se almacenan durante una semana y luego se eliminan automáticamente.
¿Qué está cifrado y qué podéis leer?

Tuta encripta todos los datos almacenados en tu buzón (contactos, correos electrónicos, firma de correo electrónico, reglas de bandeja de entrada, datos de facturas, método de pago, certificado y claves privadas de tus propios dominios). Al enviar un correo electrónico, Tuta encripta el asunto, el contenido y los archivos adjuntos automáticamente.

Puedes encontrar una explicación detallada de lo que Tuta encripta en nuestra página de correo encriptado

Sólo podemos leer los siguientes metadatos:

  • Remitente
  • Receptor
  • Fecha del correo

Ya estamos buscando posibilidades de ocultar los metadatos también.

¿Dónde puedo reportar un problema de seguridad o una vulnerabilidad que encontré en Tuta?
seguridadinformevulnerabilidad

Gracias por tomarte el tiempo para informar de una vulnerabilidad. Si has encontrado algún problema de seguridad, por favor envíanos un correo electrónico en inglés o alemán con un informe detallado para que podamos solucionarlo.

En Tuta nos preocupamos al máximo por asegurar al máximo tu buzón. El código de Tuta es de código abierto y está publicado en Github, e invitamos a todos los expertos en seguridad a revisarlo.

Tu Contraseña en Tuta

¿Puedo desbloquear la aplicación con un pin o datos biométricos (huella digital, Face ID)?

Puedes asegurar el inicio de sesión de la aplicación almacenada con un pin, patrón o datos biométricos (huella dactilar, Face ID, etc.). Ve a Configuración -> Inicio de sesión -> Credenciales de inicio de sesión, para activarlo.

Esta opción aparecerá sólo después de que hayas guardado tus credenciales de acceso en la app de Tuta. Una vez que accedas, marca la casilla de 'Guardar contraseña' para guardar tus credenciales de acceso.

¿Cómo elegir una contraseña segura?

Tuta usa un indicador de fortaleza de contraseñas que tiene en cuenta varios aspectos de la contraseña para asegurar que escoges una a juego con tu cuenta de correo seguro. Encontrarás consejos adicionales para elegir una contraseña segura, (en inglés) aquí.

Tuta no tiene límites en lo referente a longitud de tu contraseña y puedes usar todos los caracteres, incluyendo todos los caracteres de Unicode.

Al cerrar la sesión de Tuta, el navegador o la aplicación siempre se inicia de nuevo. ¿Qué puedo hacer para detenerlo?

Si haces clic en «cerrar sesión», terminas la sesión. Ten en cuenta: Si has guardado previamente la contraseña, se cerrará la sesión, pero la contraseña todavía se guarda para el inicio de sesión automático. Para 'des-guardar' la contraseña, por favor, desconéctate. Aparece la pantalla de inicio de sesión, haz clic en «más» y luego en «eliminar credenciales».

¿Cómo funciona el generador de frases de contraseña?

Una contraseña segura es aquella que es lo suficientemente aleatoria como para que no se pueda adivinar en un período de tiempo factible. Pero las cadenas aleatorias de caracteres alfanuméricos son difíciles de recordar. Es por eso que hemos implementado un generador de frases de contraseña que encuentra un buen equilibrio entre seguridad y memorabilidad. El generador elige seis palabras fáciles de una enorme lista curada y genera una frase de contraseña que es segura y fácil de escribir y recordar. Aquí hay más consejos sobre cómo crear y recordar una contraseña segura.

¿Cuál es la función de hash usada para la contraseña?

Nunca se transmite tu contraseña al servidor en texto, sino «salted» localmente y «hashed» con Bcrypt. Se considera Bcrypt como el procedimiento más seguro, porque ataques de fuerza bruta tardan mucho más comparado con otros procedimientos como MD5 o SHA. De esta manera se mantiene la confidencialidad completa mientras tú puedes acceder a tu buzón cifrado fácilmente desde cualquier dispositivo.

Tuta asegura mi clave privada con mi contraseña. ¿Podéis acceder a ella?

No. Si una contraseña está utilizada para la autenticación (login), no es necesario que el servidor la conozca. Basta con que el servidor tenga un «hash» de la contraseña. En Tuta se calcula tu «hash» para la autenticación en el navegador y luego se lo envía al servidor. Nunca se envía tu contraseña por el internet en «texto plano», y nuestro servidor tampoco ve la contraseña en ningún momento. Los «Hashes» no son reversibles, así que el servidor no puede descubrir la contraseña conociendo el «hash». De esta manera, el servidor puede descodificar tus mensajes, pero no puede iniciar tu sesión.

Se recomienda la lectura del artículo en inglés: Learn how Tuta automatizes the encryption process while leaving you in full control of your encrypted data.

Me robaron mi contraseña. ¿Qué debo hacer ahora?

Si crees que tu contraseña fue revelada a otra persona pero todavía puedes iniciar sesión en tu cuenta, haz lo siguiente:

  • Cambia tu contraseña en 'Ajustes' -> 'Iniciar sesión' -> 'Contraseña'.
  • Actualiza tu código de recuperación en 'Ajustes' -> 'Iniciar sesión' -> 'Código de recuperación'.

Si el atacante ya ha iniciado sesión y se encuentra aún en tu cuenta, habrá sido automáticamente expulsado al cambiar tu contraseña.

Te animamos a usar siempre 2FA con tus cuentas, ya que hace casi imposible que un atacante inicie sesión en tu cuenta.

Si ya no puedes iniciar sesión en tu cuenta, consulta aquí.

¿Dónde puedo ver mi código de recuperación?

Ve a Ajustes - Inicia sesión y haz clic en el símbolo del lápiz junto a «Código de recuperación» para mostrar el código o actualizarlo. Para ello, debes introducir tu contraseña.