13/08/2013
Las revelaciones de Edward Snowden sobre PRISM y X-Keyscore han puesto de manifiesto la necesidad de mejorar la privacidad de nuestras comunicaciones al estar sometidos a tantos programas de espionaje. Repasamos algunas ideas y alternativas que pueden mejorar la seguridad de nuestro correo electrónico y, al menos, ponérselo algo más difícil a la NSA.
Las revelaciones de Edward Snowden relativas a los programas de espionaje de la NSA (PRISM y X-Keyscore) y las presiones que ejerce el Gobierno de Estados Unidos sobre los servicios que operan en la red (solicitando datos en virtud de las leyes sobre seguridad nacional) han puesto sobre la mesa que la privacidad en la red es una utopía (sobre todo si los servidores están en Estados Unidos). Aunque Obama haya comentado que quiere reformar la legislación y compaginar privacidad y seguridad nacional, el hecho es que los usuarios cada vez se interesan más por servicios que garanticen la privacidad de nuestros datos.
Lavabit, por ejemplo, era un servicio de correo electrónico seguro que se había hecho muy popular tras haber sido utilizado por Snowden; sin embargo, el servicio anunció la semana pasada que tenía que cerrar para no violar la confianza de sus usuarios. Silent Circle también anunció la semana pasada que cerraba y en este contexto, Kim Dotcom ha anunciado que moverá su servicio a Islandia (para escapar del círculo de Estados Unidos, Reino Unido, Australia, Nueva Zelanda y Canadá) y que, además, ofrecerá en 2014 un servicio de correo electrónico seguro en Mega.
En ALT1040 hemos dedicado tiempo a hablar de alternativas seguras a servicios que usamos a diario y que por culpa de estas políticas de Estados Unidos, hacen que nuestros datos sean susceptibles de quedar expuestos sin demasiadas garantías. Hemos hablado de alternativas a Dropbox o Google Drive con los que implementar nuestra propia nube privada y también hemos explorado alternativas seguras y libres a Skype; con la idea de complementar este abanico de aplicaciones y servicios alternativos, vamos a dedicar unos minutos a alternativas que mejoren la seguridad de nuestro correo electrónico y que, por tanto, lo transformen en un servicio de correo electrónico seguro.
Cifrar los mensajes de Gmail y otros servicios
Servicios como Lavabit o Silent Circle ofrecían a los usuarios un servicio de correo electrónico seguro y, por ejemplo, cifraban la información de sus servidores. Su uso implicaba, evidentemente, cambiar de dirección de correo; un hándicap que no todo el mundo está dispuesto a asumir y prefieren optar por opciones quizás algo menos seguras pero que, al menos, les permiten conservar su dirección de correo.
La criptografía de clave pública o criptografía asimétrica, que es lo mismo que usamos al conectarnos a una red Wi-Fi segura, puede ser una muy buena opción para cifrar el contenido de nuestros mensajes. El funcionamiento es muy simple, cuando queramos que alguien nos envíe un mensaje cifrado le daremos una clave pública que usará para cifrar el contenido y, para poder descifrarlo, necesitaremos una clave privada que solamente tenemos nosotros (garantizando así que solamente nosotros tenemos acceso al \»código\»).
Vale, la teoría está genial pero ¿cómo podemos cifrar nuestros correos de Gmail? Existen extensiones como Mailvelope que utilizan el estándar OpenPGP para cifrar los mensajes que enviamos a través de Gmail, Yahoo! Mail o Outlook.com; solamente tenemos que descargar esta extensión en Google Chrome o en Firefox y dotaremos de cifrado a nuestro webmail habitual.
Otra alternativa interesante es Secure Gmail, una extensión para Google Chrome que nos permite cifrar los mensajes que enviamos desde Gmail y que tampoco es complicada de usar. En el caso que usemos Firefox, WebPG for Mozilla nos ofrecerá (entre otras cosas) cifrado de mensajes en Gmail y con Enlocked podremos cifrar mensajes en Gmail, Yahoo! Mail y Hotmail.
Cifrar los mensajes en el escritorio
Si no queremos migrar a otro servicio pero tampoco queremos usar Gmail, existen opciones para clientes de escritorio que nos permitirán cifrar mensajes a la vez que usamos nuestro buzón de correo corporativo desde clientes como Thunderbird y Outlook.
Al igual que en Firefox encontramos extensiones que nos permiten dotar al navegador de Mozilla de la capacidad de trabajar con PGP y cifrar mensajes; Thunderbird también puede trabajar con PGP usando extensiones como WebPG for Mozilla y, la más conocida, Enigmail (aunque, eso sí, requerirá que instalemos en nuestro sistema GnuPG.
Outlook, aunque nos pueda parecer muy poco flexible, soporta cifrado de mensajes de forma nativa y, por ejemplo, en la propia ayuda de Office podemos encontrar cómo usar esta funcionalidad. También existen complementos para Outlook como NeoCertified (que usa un servicio comercial), Outlook Privacy Plugin o bien GPG4Win.
Buscar un cliente alternativo
El otro día, cuando hablamos de alternativas seguras a Skype, nos centramos en soluciones basadas en software libre. ¿El motivo? Si tenemos acceso al código, la aplicación se puede auditar y analizar, por tanto, no tiene nada que esconder y nos aporta mayor confianza. Siguiendo esta senda, en Indiegogo se está gestando un proyecto llamado Mailpile que nos ofrece un interfaz web que actuará de cliente de correo de nuestros buzones y que, entre otras cosas, también pretende ofrecernos cifrado de mensajes.
Por ahora, Mailpile nos ofrece un cliente web para desplegar en nuestro ordenador personal o en un servidor que tengamos bajo nuestra gestión; un cliente web que tiene cierto parecido con Gmail (por ejemplo en la búsqueda de mensajes) y que dentro de las mejoras que se están desarrollando se ha contemplado la inclusión del cifrado PGP en los mensajes.
Mailpile es un proyecto, sin duda, a seguir bien cerca.
Recurrir a un servicio de correo electrónico seguro
Viendo lo que le ha pasado a Lavabit y a Silent Circle, la verdad, creo que es arriesgado lanzarse a un servicio de correo electrónico seguro. Quizás Kim Dotcom, si logra trasladar las operaciones a Islandia, pueda cubrir esta necesidad aunque, eso sí, existen altenativas a tener muy en cuenta:
- CounterMail es, quizás, uno de los mejores servicios de correo electrónico seguro que podemos encontrar en la red (o al menos eso muestran sus especificaciones). Según el servicio, sus servidores usan LiveCDs y mucha memoria RAM para funcionar y se cifran los mensajes enviados usando OpenPGP. El servicio es de pago (aunque tiene un período de prueba gratuito) y, entre las cosas que podemos encontrar, se ofrece al usuario la posibilidad de comprar \»una llave USB\» para almacenar su clave y poder usar el servicio desde cualquier sitio.
- Hushmail es un servicio que ofrece correo electrónico seguro tanto a particulares como a empresas. En su versión gratuita ofrece una cuota de 25 MB de almacenamiento y el compromiso por nuestra parte de mantener actividad en el servicio (accediendo al servicio, como mínimo, una vez cada tres semanas) aunque también ofrece opciones de pago. El servicio lleva bastante tiempo funcionando aunque, eso sí, es importante tener presente que dentro de los términos del servicio se indica, explícitamente, que colaboran ante mandatos judiciales de las autoridades de Canadá (es una compañía canadiense que, de hecho, alguna que otra vez se ha visto envuelta en polémicas).
- NeoMailBox es un servicio radicado en Suiza que también ofrece correo electrónico seguro a los usuarios. Su servicio de correo permite el cifrado de mensajes usando OpenPGP, protege la dirección IP del usuario (haciendo que, virtualmente, sea anónimo) y admite la migración de un dominio al servicio (y portar el correo corporativo de nuestra empresa para dotarlo de seguridad). Su uso no es gratuito y por un buzón de 1 GB de espacio de almacenamiento, NeoMailBox cobrará al usuario 49,95 dólares al año y, evidentemente, por algo más de coste es posible subir el buzón a 5 GB y 10 GB.
Fuente: ALT1040