Cómo encriptar y proteger tu correo electrónico

Published by on agosto 15, 2018 in VPN y Privacidad

wrens operating the colossus

El correo electrónico fue uno de los primeros medios de comunicación de Internet. Y si estás leyendo esto, casi seguro que tienes al menos una dirección de correo electrónico. Hay críticos que anuncian su eventual caída, pero por ahora sigue siendo uno de los medios más universales de comunicarnos con los demás. Uno de los problemas principales de esta piedra angular de las comunicaciones electrónicas es que no es muy privada. La mayoría de los proveedores de correo electrónico no ofrecen por defecto un modo de encriptar mensajes o archivos adjuntos. Eso vuelve vulnerables a los usuarios frente a hackers, fisgones y ladrones.

Quieres empezar a encriptar tu correo, ¿verdad? Muy bien, comencemos diciendo que hacerlo del modo adecuado no es algo fácil de configurar ni de usar. Ni siquiera con la multitud de aplicaciones y extensiones del navegador disponibles para ayudarte con esa tarea. No es que te haga falta ser un experto en criptografía ni nada por el estilo, pero sí llevar a cabo algunos procedimientos bastante técnicos. En segundo lugar, no es necesario encriptar todos los correos que envíes. De hecho, no deberías hacerlo, porque la mayoría de la gente que los recibe probablemente no sabrían cómo descifrarlos. Encriptar tu correo ofrece un modo seguro de enviar y recibir mensajes sobre materias sensibles. Los periodistas lo usan para comunicarse confidencialmente con sus fuentes. Las empresas lo utilizan para compartir secretos comerciales o documentos clasificados. Los abogados para mantener seguros los datos sensibles de sus clientes o sus casos. Captas la idea. En nuestra opinión, deberías aprender a cifrar tu correo por si un día lo necesitas, pero no es necesariamente algo que tengas que hacer en tus comunicaciones normales.

Un poco más adelante entraremos en detalle sobre cómo encriptar tu correo, pero veamos antes algunas buenas prácticas simples para hacer más seguro el uso del correo electrónico.

Buenas prácticas para proteger tu correo

Nueve de cada diez virus que infectan a equipos informáticos llegan a ellos como archivos adjuntos en un correo. Si no tienes cuidado, ninguna encriptación será capaz de protegerte, por muy fuerte que sea. Por eso es muy importante escanear todos los archivos adjuntos que recibas antes de abrirlos. Sobre todo si provienen de alguien que no conoces. Son especialmente comunes los virus disfrazados de documentos de Microsoft Word. Muchos clientes de correo electrónico, incluido Gmail, los escanean por ti de forma automática, pero otros requieren que lo hagas tú a mano.

No hagas clic en enlaces de correos de origen dudoso. Es más, ni siquiera abras correos que no parezcan de fiar. Un filtro de spam te ayudará mucho para librarte de ese tipo de correos.

Usa la opción de copia oculta si envías un correo a un gran número de personas para que los spammers no se hagan con la lista completa de contactos. Por otro lado, si alguien te incluye a ti en copia entre una lista de correos, no pulses “responder a todos” sin antes valorar cuidadosamente las alternativas.

Por último, define una contraseña fuerte para tu cuenta de correo y cámbiala con frecuencia. Consulta nuestra guía si no tienes claro qué es una contraseña fuerte o usa un comprobador de seguridad de contraseñas si aún no estás seguro de si la tuya es fuerte o no.

Y ahora vamos a hablar de encriptación.

Cómo funciona la encriptación del correo

De un modo simple, encriptar no es más que revolver los contenidos de un mensaje de forma que solo consigan descifrarlos quienes conozcan la clave correspondiente. Un poco como aquellos enigmas que había que resolver en el colegio, donde tenías que convertir cada letra del alfabeto en otra para descubrir el mensaje secreto. Los computadores han convertido eso en algo mucho más complejo e imposible de descifrar a mano por un humano. Al cifrar un correo, sus contenidos se revuelven y solo el destinatario tiene la clave para reordenarlos.

La encriptación del correo usa algo llamado clave pública criptográfica para asegurarse de que solo el destinatario adecuado pueda descifrar el mensaje. Cada persona tiene un par de claves: los códigos digitales que permiten descifrarlo y los códigos digitales que permiten cifrarlo. Tu clave pública se almacena en un servidor de claves donde cualquiera puede encontrarla, junto con tu nombre y dirección de correo. De igual modo, en esos servidores puedes encontrar las claves públicas de otras personas para poder enviarles correos cifrados.

Cuando encriptas un correo usas la clave pública del destinatario para cifrar el mensaje. La tecnología que está detrás de este tipo de criptografía impide que la clave pública pueda usarse también para descifrarlo. Eso solo es posible mediante la clave privada del destinatario del mensaje, que se almacena en un lugar privado y seguro de su equipo.

Tipos de encriptación de correo

Hay dos métodos de encriptación de correo que debes conocer: S/MIME y PGP/MIME. El primero está integrado en la mayoría de los dispositivos iOS y OSX. Si recibes un correo enviado desde un Macbook o iPhone, a veces verás un archivo adjunto de 5 kB llamado “smime.p7s”. Ese archivo verifica la identidad del destinatario, de modo que solo él puede leer el mensaje. S/MIME utiliza un sistema de autorización centralizado, que elige el algoritmo y el tamaño de la clave de cifrado. Es fácil de mantener, difícil de configurar para clientes de correo web y se distribuye principalmente por medio de Apple y Outlook.

El otro peso pesado de la encriptación de correo es PGP/MIME, que es en el que vamos a centrarnos en la parte final de este tutorial. Tiene más flexibilidad en cuanto al cifrado de correos, se basa en un modelo de confianza descentralizado y repartido y es bastante fácil de usar con clientes de correo web. Además, es gratis obtener un certificado, mientras que con el S/MIME no suele serlo (compras uno al pagar por tu iPhone o Macbook). Con PGP no solo puedes elegir cómo hacer el cifrado, sino también definir el nivel de encriptación que deben tener los mensajes que recibas.

Todo eso hace que PGP/MIME sea más barato y flexible. Pero antes de profundizar en ello, vamos a echar un vistazo a las características de la encriptación S/MIME, integrada en productos de Outlook y Apple.

Encriptar un correo en Outlook

Trust Center screen grab

Hay un par de requisitos previos antes de que puedas dedicarte a mandar mensajes de admirador secreto con Outlook. El primero es que necesitas un certificado digital. Debes conseguir uno si todavía no lo has solicitado o si no te lo ha facilitado tu empresa.

  • Entra en Archivo > Opciones > Centro de confianza > Configuración del Centro de confianza > Seguridad del correo electrónico, Obtener un Id. digital.
  • Elige la entidad de certificación de la que quieras recibir ese Id. digital (recomendamos Comodo).
  • Te llegará por correo electrónico.

Ahora que ya tienes un certificado/id. digital, sigue estas instrucciones para configurarlo en Outlook:

  • Selecciona Herramientas > Opciones y haz clic arriba en la solapa “Seguridad”.
  • Escribe el nombre que quieras en el campo “Nombre de configuración de seguridad”.
  • Asegúrate de que está seleccionado S/MIME en la lista de “Formato de cifrado”.
  • Conviene marcar las opciones de configuración predeterminada.
  • Bajo “Certificado y algoritmos”, ve a la sección de “Certificado de firma” y pulsa “Elegir”.
  • En “Seleccionar certificado”, elige tu “Certificado de email seguro”, si no se ha elegido ya uno por defecto.
  • Marca la casilla “Enviar estos certificados con mensajes firmados”.
  • Pulsa “Aceptar” para guardar los cambios y volver a Outlook.

Muy bien, así que ahora tienes una firma digital que puedes incluir en tus correos, pero eso no se hará por defecto. Para adjuntar tu firma digital:

  • Haz clic en “Nuevo” (mensaje de correo).
  • Entra en Herramientas > Personalizar y haz clic arriba en la solapa “Comandos”.
  • En la lista de “Categorías” elige “Estándar”.
  • Entre la lista de “Comandos”, haz clic en “Firmar mensaje digitalmente”.
  • Puedes pinchar y arrastrar ese botón hasta la barra de herramientas. A partir de ese momento te bastará hacer clic para agregar una firma digital.
  • Ya puestos, también haz clic y arrastra el botón de “Cifrar el contenido del mensaje y los datos adjuntos” hasta la barra de herramientas.

Llegado este punto, conviene recordar que firmar digitalmente un correo no es lo mismo que cifrarlo. No obstante, para poder enviar a alguien un mensaje encriptado a través de Outlook, ese destinatario tiene que haberte enviado antes al menos un correo donde adjuntara su firma digital. Así es como Outlook sabe que puede confiar en el remitente. De modo similar, si quieres recibir un mensaje cifrado de alguien, antes debes mandarle un mensaje no cifrado en el que adjuntes también tu firma digital. Es un fastidioso inconveniente de S/MIME. Para firmar digitalmente un correo basta con pulsar el nuevo botón “Firmar” antes de enviarlo.

Podréis empezar a intercambiar mensajes encriptados cuando ambos tengáis los certificados y la firma digital del otro guardados en vuestros respectivos “llaveros” (listas de contactos). Basta con hacer clic en el botón “Cifrar” que has añadido hace un momento antes de enviar el correo correspondiente. ¡Y eso es todo!

Encriptar un correo en iOS

El soporte de S/MIME está integrado en la aplicación de correo predeterminada de los dispositivos iOS. Entra en las opciones avanzadas, activa S/MIME y cambia “Encriptar por defecto” a “Sí”. Ahora, cada vez que redactes un mensaje nuevo, se mostrarán iconos de un candado junto a los nombres de los destinatarios. Basta con hacer clic en ese icono para cifrar el correo que sea.

iOS consulta la lista global de direcciones (GAL), una especie de servidor de claves para certificados S/MIME, donde intenta localizar contactos de tu mismo entorno. Si encuentra alguno, el icono del candado se mostrará en azul.

ios email encryption

Es probable que salga en rojo junto a la dirección de correo de algunos de tus destinatarios. Significa que no pertenecen a tu entorno (por ejemplo, no trabajan en tu misma empresa) o que no has instalado todavía el certificado de esa persona y por ello no puedes mandarle mensajes encriptados. El procedimiento a seguir en ese caso es similar al de Outlook. La persona que sea debe mandarte al menos un correo con su firma digital adjunta. Puedes encontrar la opción de adjuntar por defecto firmas a tus correos en el mismo menú de ajustes avanzados donde estaban las opciones de cifrado.

Sigue estos pasos cuando recibas un correo:

  • Haz clic en la dirección del remitente.
  • Aparecerá un interrogante en rojo que indica que la firma no es fiable. Da un toque en “Ver certificado”.
  • Pulsa “Instalar”. Cuando acabe, el botón de instalar se pondrá en rojo y dirá “Quitar”. Haz clic en “Hecho”, en la esquina superior derecha.
  • A partir de ahora, cuando redactes un mensaje para esa persona, el icono del candado será de color azul. Dale un toque para cerrarlo y cifrar el mensaje.

Encriptar un correo en OSX

Mandar correos cifrados mediante el programa de correo por defecto de Mac OSX tiene los mismos requisitos que iOS y Outlook. Primero debes tener almacenada en tu equipo la firma digital del destinatario. Al redactar un mensaje e indicar el correo de ese contacto, se mostrará un icono de “visto bueno” para indicar que el mensaje se va a firmar.

Junto al icono de la firma, verás también el de un candado. A diferencia de lo que ocurre en iOS, donde es posible elegir qué destinatarios reciben correos cifrados y cuáles no, en OSX es todo o nada. No podrás encriptar ningún correo a no ser que tengas los certificados de todos los destinatarios

Recuerda firmar los mensajes solo después de haber terminado de escribirlos. El certificado se mostrará como no fiable si cambias algo tras firmar el correo.

Encriptar un correo en Android

En Android tienes un par de alternativas para cifrar tu correo. La aplicación CipherMail permite enviar y recibir correos encriptados S/MIME usando la aplicación predeterminada de Gmail y otras de terceros como K-9. Aquí se aplican las mismas normas sobre los certificados de las que hemos hablado antes.

La otra opción es usar PGP/MIME, que requiere tanto una aplicación de correo como un llavero donde almacenar los certificados. PGP exige más configuraciones, pero con él no necesitas recibir por adelantado la firma digital del destinatario para poder enviarle un correo encriptado.

OpenKeychain es una aplicación llavero simple y gratis para almacenar certificados ajenos. Funciona bien con K-9 Mail, pero también es compatible con otras aplicaciones de correo.

En OpenKeychain puedes crear tus propias claves públicas y privadas. Introduce tu dirección de correo, un nombre y una contraseña y generará esas claves por ti. O puedes importar tu clave si ya tienes una. También es posible exportar la clave generada para usarla con otros dispositivos y aplicaciones.

OpenKeychain te ayuda además a localizar online claves públicas de otras personas para así poder mandarles correos cifrados. Después de añadir a tu llavero la clave pública de quien sea, quedará guardada para que puedas usarla en cualquier momento.

Para utilizar OpenKeychain con una aplicación de correo, entra en los ajustes de esa aplicación y elige a OpenKeychain como tu proveedor OpenPGP por defecto. La forma de hacerlo varía dependiendo de la aplicación, pero no debe costarte mucho descubrirlo trasteando un poco con sus opciones de configuración. Aunque no todas las aplicaciones de correo, incluido Gmail, admiten el cifrado.

Encriptar tu correo web (Gmail)

Recomendamos usar la encriptación PGP/MIME en clientes de correo web como Gmail, ya que es mucho más fácil de implementar que la S/MIME. En este tutorial vamos a usar con Gmail una extensión para Chrome llamada Mailvelope, aunque la mayoría de las extensiones de este tipo para el navegador funcionan de forma similar y siguen los mismos principios básicos. También puedes probar EnigMail, GPGTools o GNU Privacy Guard.

Para empezar, instala la extensión y abre el menú de opciones. Lo primero es generar tu propia clave: introduce un nombre, un correo y una contraseña, y haz clic en “Generate Key” (generar clave). La mayoría de las extensiones para cifrado de correo incluyen un generador de claves y un llavero integrados. Si ya tienes una clave, simplemente selecciona la opción de importarla copiando y pegando.

mailvelope 1

Ahora ya tienes una clave de encriptación, pero no sirve de mucho si nadie puede encontrar tu clave pública para poder mandarte correos cifrados. Para eso sirve publicarla en un servidor de claves. Te sugerimos el del MIT, porque es popular, gratis y fácil de usar. En los ajustes de Mailvelope, ve hasta “Display Keys” (mostrar claves) y haz clic en la clave que acabas de crear. Luego ve a “Export” (exportar) para ver tu clave pública en texto plano. Cópiala en el portapapeles.
mailvelope 3

Entra en el servidor de claves PGP del MIT, pega tu clave en el campo “Submit a Key” y pulsa el botón de envío. Luego entra otra vez en la página de inicio del servidor del MIT y busca el nombre que hayas indicado. Tu clave debería aparecer listada.
mailvelope 2

Toma nota de la key ID, que se indica tanto en los ajustes de Mailvelope como en el listado del MIT. Es útil si hay varias personas con el mismo nombre en el listado. Sirve como un identificador único. Los periodistas, por ejemplo, a menudo publican su key ID en sus perfiles online o sus cuentas de redes sociales. De ese modo, sus fuentes tienen la seguridad de estar enviando sus correos a la persona correcta.

También puedes usar el servidor de claves del MIT para encontrar las claves públicas de otros. Haz clic en la key ID de quien estés buscando para que se muestre su clave en texto plano. Luego cópiala y pégala en la sección de “importar” de Mailvelope para añadirla a tu llavero. mailvelope 4

Podrás empezar a enviar y recibir correo encriptado después de añadir a tus destinatarios a tu llavero y después de haber hecho pública tu clave. Mailvelope añade un botón a la ventana de creación de mensajes de Gmail. Sirve para abrir otra ventana donde puedes escribir el mensaje que quieres cifrar. Cuando acabes, pulsa el botón de encriptación, elige un destinatario y transfiere el texto cifrado al correo. Si quieres, puedes adicionar texto no cifrado, pero no cambies la parte encriptada.
mailvelope 5

Cuando recibas un correo cifrado, la extensión del navegador que hayas instalado debería reconocerlo automáticamente y ofrecerte descifrarlo. El destinatario necesita tener instalada una extensión o algún tipo de descifrador PGP. En el caso de Mailvelope, me bastó hacer clic en un icono que flotaba sobre el texto encriptado, escribir mi contraseña y ¡voilà!
mailvelope 7

La desventaja de Mailvelope, y en realidad de la mayoría de las extensiones de encriptación basadas en web, es que no cifra archivos adjuntos. Para encriptarlos con PGP puedes usar Gnu Privacy Guard antes de subirlos. Así conseguirás cifrarlos usando el mismo par de claves. O puedes optar por alguna de estas aplicaciones para cifrar archivos.

Direcciones de correo temporales

La encriptación solo oculta el contenido del mensaje, pero no la dirección de correo del remitente. Puede llegar un día en que, por las más variadas razones, necesites enviar un correo anónimamente con el fin de ocultar tu identidad. Para ello existen unos cuantos servicios de correo donde crear direcciones “falsas” temporales.

Guerilla Mail es nuestra principal recomendación. Permite crear una cuenta de correo descartable desde la que enviar y a la que recibir mensajes. Incluye un gestor de contraseñas. Así te ahorras memorizar las de distintas cuentas temporales que puedas tener. Lo mejor de todo es que está disponible online y sin tener que registrarte, lo que mantiene tu anonimato de forma mucho más eficaz.

Zmail es otra sólida alternativa para crear correos falsos si prefieres hacerlo mediante un programa de escritorio en vez de usando una aplicación web.

Notas finales

Muchas aplicaciones y servicios de correo que prometen encriptar tu correo no usan S/MIME ni PGP/MIME. Son de hecho mucho más fáciles y rápidas de configurar, pero ten en cuenta que utilizan su propio sistema de cifrado, que quizá no ofrezca el mismo nivel de privacidad. SafeGmail y Virtu son dos ejemplos. No recomendamos ninguno.

Nuestro consejo es que subas tu clave pública PGP a un servidor de claves, pero no es imprescindible. En su lugar, puedes simplemente enviársela en texto plano a la persona o personas de las que quieres recibir correo encriptado.

Ve también: ¿tu jefe puede leer tus correos personales?

Relacionado: ¿estás buscando una VPN con la que proteger tu privacidad? Ve nuestra lista de los mejores servicios VPN.

Wrens operating the ‘Colossus’ computer, 1943”, de la Bletchley Park Trust / Science & Society Picture Library, bajo licencia CC BY 2.0.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.