Correo electrónico seguro
El correo electrónico es una de las aplicaciones más utilizadas en las redes de computadores. En el caso de Internet, el protocolo sobre el que se sustenta la transferencia de mensajes, el SMTP, fue publicado en el estándar RFC 821 en 1982. Como su nombre indica, la principal característica de este protocolo es su simplicidad. Esto ha permitido que el SMTP, junto con el estándar para el formato de los mensajes (RFC 822) y la especificación MIME, sean la base tecnológica de la gran mayoría de los sistemas de correo actuales.
Esta gran virtud del SMTP, la simplicidad, es a su vez una fuente de muchos problemas de seguridad, ya que a un atacante puede resultarle sorprendentemente fácil capturar mensajes o enviar mensajes falsos en nombre de otros. En este apartado veremos algunas técnicas existentes para añadir seguridad al servicio de correo electrónico.
Si consideramos el correo electrónico como un protocolo de la capa de aplicación, una posibilidad para proteger los mensajes de correo sería utilizar la seguridad que pueden ofrecer las capas inferiores, como la de red o la de transporte. Por ejemplo, con el protocolo SMTP se puede negociar el uso del transporte seguro SSL/TLS, mediante un comando especial llamado STARTTLS (RFC 2487).
Pero en la transferencia de los mensajes pueden intervenir distintos agentes intermedios, y para realizar la comunicación segura de extremo a extremo sería necesario proteger todos los enlaces o intentar hacer una conexión directa entre el sistema del originador y los de los destinatarios. Por otro lado, la naturaleza store-and -forward (almacenamiento y reenvío) del servicio de correo electrónico implica que los mensajes sean vulnerables no sólo cuando se transfieren de un nodo intermedio a otro, sino también mientras están almacenados en estos nodos. Esto incluye el sistema de destino final: una vez el mensaje ha llegado al buzón del usuario, su contenido puede ser inspeccionado o modificado por terceros antes de que lo lea el destinatario legítimo, o incluso después de que ya lo haya leído.
Es por estos motivos que se han desarrollado métodos para proteger el correo electrónico en el mismo nivel de aplicación, independientemente del sistema de transporte utilizado. La idea es aplicar las funciones criptográficas necesarias al mensaje antes de entregarlo a los agentes de transferencia del servicio de correo, y éstos sólo deben hacerlo llegar a su destino de forma habitual. De este modo, por un lado, se puede aprovechar la infraestructura de correo electrónico ya existente, sin necesidad de cambiar los servidores, etc., y por otro, la protección es efectiva durante todo el proceso, incluso mientras el mensaje esté almacenado en el buzón del destinatario.La mayoría de los sistemas de correo electrónico seguro que se han propuesto siguen este modelo de incorporar la seguridad dentro de los propios mensajes sin modificar el protocolo de transferencia.
Califica este Artículo
Categoría: Conectividad y Redes.
Deja una respuesta