Finalmente, una visión clara: totemo explica los diversos estándares para el cifrado de correo electrónico y ofrece soluciones. Las empresas tienen que reaccionar ante la variedad de estándares de encriptación.
Los correos electrónicos son una parte integral del trabajo diario: las empresas llegan de esta manera a casi todos los clientes, tanto usuarios finales como empresas, así como a sus socios comerciales. Por lo tanto, el cifrado sólido del correo electrónico es uno de los elementos básicos más importantes para proteger los datos personales o críticos para la empresa del acceso no autorizado durante la transmisión y el almacenamiento. Por lo tanto, los administradores de seguridad de TI deben familiarizarse con los estándares TLS, PGP/OpenPGP, MIP y S/MIME. Rápidamente queda claro: el cifrado de correo electrónico requiere un "traductor especializado" y los administradores de TI necesitan una buena perspectiva.
TLS: La protección del transporte
TLS (Transport Layer Security) es un protocolo criptográfico que cifra el canal de transporte entre el remitente y el destinatario. La ventaja de tal "cifrado de transporte" es que durante la transmisión, incluso los metadatos, como el remitente y el destinatario, el tema y la hora de envío, no se pueden ver desde el exterior.
Para ello, los sistemas de correo del remitente y del destinatario deben comunicarse directamente entre sí. Sin embargo, este no suele ser el caso, por lo que el cifrado solo funciona hasta el siguiente nodo. Por eso, los expertos recomiendan combinar el protocolo TLS con el cifrado de contenidos como S/MIME o PGP. Esto compensa las debilidades de TLS.
PGP: bastante bueno, pero complejo
PGP significa "Pretty Good Privacy" y, a diferencia de TLS, encripta el contenido de un correo electrónico, que luego solo puede leer el destinatario autorizado, independientemente del canal de transmisión. Este estándar se basa en una "Web de confianza" al validar una clave. Muchas personas certifican las claves públicas de forma descentralizada. Esto proporciona seguridad bajo el supuesto de que un atacante potencial tendría dificultades para engañar igualmente a todos los que firmaron previamente la clave. Por otro lado, no está claro quién contribuyó realmente a la certificación.
Aunque PGP es uno de los estándares más importantes, principalmente las empresas con conocimientos tecnológicos y los usuarios privados de la comunidad de TI recurren a PGP debido a su falta de facilidad de uso. Una razón es que el estándar no está integrado en todos los clientes de correo electrónico comunes, por lo que no hay una experiencia de usuario uniforme.
Microsoft 365 ofrece una alternativa con MIP
Con Microsoft Information Protection (MIP) en Microsoft 365 (M365) existe en principio una opción muy fácil de usar para cifrar correos electrónicos con una solución generalizada. Sin embargo, esto se aplica principalmente a clientes comerciales, rara vez a usuarios privados.
Los usuarios también deben estar atentos: el proveedor de la nube posee la clave de cifrado. Las autoridades estadounidenses pueden invocar la Ley CLOUD de 2018 para obligar a las empresas estadounidenses a divulgar datos personales, incluso si se encuentran en servidores en el extranjero. Cualquiera que esté de acuerdo con esto entrega una caja de efectivo a Microsoft, por así decirlo, con la llave pegada en la parte inferior.
S/MIME: ¿Un todoterreno?
El cifrado de contenido S/MIME disfruta de un nivel de conocimiento similar al de PGP y tiene la ventaja de estar ya integrado en clientes de correo comunes. Dado que no se requieren complementos ni descargas adicionales, S/MIME ofrece un alto nivel de facilidad de uso, también para M365. Por lo tanto, muchas empresas utilizan este estándar en lugar de PGP.
A diferencia de PGP, el estándar para la validación de claves públicas prevé un número reducido de autoridades de certificación fiables. Aunque el proceso no es infalible, ofrece a los usuarios más seguridad que Web of Trust de PGP, donde prácticamente cualquier persona puede asumir las funciones de autoridad certificadora, prácticamente sin supervisión.
Desafortunadamente, este estándar tampoco es una solución completa porque, como casi todos los procesos, requiere que tanto el remitente como el destinatario lo usen. Además, los usuarios tienen que gestionar sus claves y las de sus interlocutores, una tarea nada trivial.
Se busca: traductor especialista flexible
Así que hay muchos buenos estándares de encriptación, pero son como idiomas: el remitente y el destinatario deben hablar el mismo idioma para “entender” los mensajes encriptados. Una alternativa son los métodos push y pull, en los que el destinatario no tiene que utilizar su propio cifrado. Estos son muy seguros y permiten al usuario abrir el correo electrónico encriptado ya sea como un archivo adjunto a un correo electrónico en su propio buzón o en un portal web externo, según el método elegido, sin su propia encriptación.
A nivel técnico, una puerta de enlace de correo electrónico que "habla" los estándares más comunes puede ayudar. Esto se encarga del cifrado en segundo plano comprobando qué estándar domina el destinatario antes de enviar un correo electrónico y cifrando automáticamente el mensaje del remitente en consecuencia. Esto hace que el cifrado de correo electrónico sea más fácil de usar y se puede garantizar de la manera más amplia posible.
Más en totemo.com
Sobre tótem
El fabricante de software suizo totemo ag ofrece soluciones para el intercambio seguro de información empresarial. totemo protege la comunicación por correo electrónico y la transferencia de datos con encriptación y otorga especial importancia a la óptima facilidad de uso, también en dispositivos móviles, por supuesto.
La plataforma de seguridad totemo patentada y validada por FIPS 140-2 permite una integración rápida y fácil en cualquier infraestructura de TI existente.