Estado actual del cifrado de correo

El cifrado de correo cobra mayor importancia en el contexto actual, donde los servicios de nube pública alojan la mayoría de las comunicaciones electrónicas, el pirateo de esta información por parte de organizaciones internacionales poco transparentes pero muy lucrativas se ha convertido en la preocupación número uno de los CSIO*. Este tránsito de información confidencial a través del correo electrónico, como datos personales, transacciones financieras o proyectos estratégicos se han convertido en el blanco de los hackers.

La implementación del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) el pasado mayo ha contribuido a sensibilizar a los usuarios y, entre las diversas medidas de protección que se están implementado, la necesidad de enviar mensajes cifrados ha aumentado considerablemente.

El desafío en el ámbito profesional es proporcionar soluciones sencillas de usar con una capacidad de gestión de cambios restringida, así como garantizar un tránsito diferente al tradicional de los correos electrónicos que requieren cifrado.

En la actualidad, el uso del cifrado de correo se está imponiendo en algunos sectores, sobre todo en aquellos que manejan datos relacionados con la salud, finanzas o bienes raíces.

En esta publicación, detallaremos los principios fundamentales del cifrado de correo electrónico, así como los elementos clave para su aplicación en el contexto profesional a través de dos casos concretos implementados por Alinto a nivel europeo.

 

Algunos conceptos básicos

El cifrado de correo electrónico consiste en hacer que el contenido de un email sea ilegible para que nadie, excepto el destinatario, pueda leer el mensaje. Una vez que la información esté encriptada, se necesitará una clave para descifrarla y obtener acceso al contenido.

Existen varios protocolos de cifrado de correo electrónico, incluidos OpenPGP, TLS o S/MIME, el más utilizado en la actualidad.

El cifrado puede llevarse a cabo de diversas maneras:

Algoritmos de criptografía simétrica (clave secreta): se utiliza una misma clave para cifrar y descifrar el mensaje. Esto implica la necesidad de transferir la clave al corresponsal, lo que hace que su implementación sea más difícil y arriesgada, ya que la clave puede ser interceptada si pasa por las redes.

Algoritmos de criptografía asimétrica (clave pública y privada): en este caso hay dos claves, una pública para cifrar los mensajes y una privada para descifrarlos. De esta manera, solo el destinatario del mensaje puede descifrar su contenido.

La criptografía asimétrica también sirve para garantizar la autenticidad de un mensaje a través de la firma digital; esto asegura que el remitente es el autor del mensaje. La mayoría de las empresas que actualmente ofrecen servicios de cifrado dependen de este último tipo de criptografía, considerada la más segura de las dos.

 

La respuesta Alinto: cifrado email profesional

Los servicios de encriptación implementados por Alinto utilizan criptografía asimétrica, combinando clave pública y privada, para garantizar la alta seguridad de los intercambios de información.Nuestras soluciones se basan en S/MIME (Secure/Multipurpose Internet Mail Extensions), un estándar que se basa en certificados digitales X.509 para firmar y cifrar el correo electrónico. Asegura la integridad y la confidencialidad de los datos, mientras que la firma electrónica garantiza el no repudio y la autenticación de la información.

El protocolo S/MIME es compatible con la mayoría de los clientes de correo electrónico, como Microsoft Outlook, Thunderbird, Apple / iPhone Mail, Lotus Notes, Gmail en Android, etc. Pero ¿cómo dar respuesta a las necesidades particulares de cada empresa?

 

Cifrado On premise – Máxima sencillez y seguridad

Uno de nuestros clientes, gran representante del sector de los seguros en Francia necesitaba cifrar su correo de empresa Office 365 en los casos en que sus empleados envían registros médicos de futuros clientes a médicos con correos electrónicos en nube pública de tipo Gmail. La comunicación de esta información personal debía hacerse de manera segura, ya que se trata de información estrictamente confidencial.Como los empleados de la aseguradora no eran expertos en el manejo de herramientas informáticas, se necesitaba una solución simple que no requiriese de ninguna instalación pesada.

Por ello, se implementó la solución Netmail Encrypt, de tal modo que, desde Office 365 solo sea necesario establecer una regla de enrutamiento para que se cifren los mensajes sensibles. Para ello, basta con que el usuario defina el mensaje como confidencial colocando una etiqueta tipo [encriptado] en el asunto del correo electrónico.

Además, el administrador también tiene la posibilidad de crear políticas de envío basadas en los metadatos del correo electrónico (destinatario, remitente, …). 

Por parte del receptor, usuario de Gmail o Hotmail u otra solución, no hay nada que instalar. La primera vez que reciba un correo electrónico cifrado, se le pedirá que cree su clave personal. Tras esto, tendrá acceso a sus emails cifrados, podrá leer su contenido y archivos adjuntos, así como responder a los mensajes.

Por lo tanto, una de las principales ventajas de Netmail Encrypt es la sencillez en la implementación y en el manejo diario, haciéndola muy adecuada para empresas con usuarios no tecnófilos y que trabajen con Office 365 u otras soluciones del mercado.

 

Cifrado SaaS – Seguridad y polivalencia para PME y medianas empresas

Siempre manteniendo máximo nivel de seguridad, los proyectos de encriptación requieren adaptarse a las necesidades de las empresas de cualquier tamaño y sector.

Nuestros partners a menudo se enfrentan a proyectos que no permiten la instalación de un servidor dedicado por razones de presupuesto y recursos. Nos solicitan soluciones fáciles de implementar y capaces de adaptarse a situaciones particulares. Es el caso de nuestros clientes, una clínica con más de 130 usuarios que necesitaban cifrado mediante certificados de salud especiales (HIN, Health Info Network). Con la solución Cleanmail Sign + Encrypt, implementamos un servicio de encriptación SaaS que nos permitió integrar una variante de este certificado para los usuarios.

La solución se basa en la tecnología SEPPmail, el líder en soluciones de encriptación en Suiza, integrada en el filtro antispam y antivirus de Cleanmail. La solución administra automáticamente los certificados de seguridad y simplifica la implementación y administración del servicio. Esta capacidad de automatización nos permite trabajar con empresas de diferentes tamaños y sectores: desde el sector sanitario, a consultoras o empresas privadas de todo tipo.

 

En definitiva, las soluciones implementadas por Alinto permiten a las organizaciones mitigar los riesgos asociados a las violaciones reglamentarias, la pérdida de datos y los piratas informáticos, al proteger de forma transparente la información confidencial o personal.

Para más información, nuestro equipo siempre está a la escucha.

No lo dudes, ¡ponte en contacto con nosotros!

 

* Chief Information Security Officer: Responsable de la seguridad de los sistemas de información.