Universidad Tecnológica de Panamá Facultad de Ingeniería de Sistemas Computacionales Licenciatura en Ingeniería en Sistemas de Información Cátedra: Seguridad Informática Profesora: Giovana Garrido Integrantes: Eric Cedeño 8-903-2297 Diana Martínez 8-896-1497 Leonardo Medina 8-909-1817 Yiseika Saavedra 8-918-262 Tema: Seguridad en el Correo Electrónico GRUPO: 11F -141
Fecha de entrega:
ÍNDICE Capítulo I. Seguridad en correo electrónico
3
1.1 Introducción (Antecedentes) (Antecedentes)
3
1.2 Planteamiento del problema
4
1.2.1 Descripción
5
1.2.2 Preguntas de investigación investigación
5
1.3. Objetivos
5
1.3.1. Objetivo General
5
1.3.2. Objetivos Específicos
6
1.4 Justificación
6
Capítulo II. Marco Teórico
7
Capítulo III. Título de Tema del capítulo (desarrollo del tema, por ejemplo, si es aplicación instalación, configuración, etc.)
8
3.1 Arquitectura
9
3.1.1 Agente de Usuario 3.1.2 Servidor de Correo (Agente de transferencia)
3.2 Protocolos 3.2.1 Protocolos de Transporte T ransporte 3.2.1.1 SMTP 3.2.1.2 ESMTP 3.2.2 Protocolos de Acceso 3.2.2.1 POP3
9 10 14 14 14 15 15 16
3.2.2.2 IMAP
16
3.2.2.3 Webmail
16
3.3 Peligros más frecuentes asociados al correo electrónico
17
3.4 Riesgos asociados al correo electrónico 3.4.1 Software Dañino 3.4.2 Spam 3.4.3 Fugas de Informaci I nformación ón
17 18 18 19
3.4.4 Ingeniería Social 3.4.5 Daños a la Imagen
19 19
3.4.6 Bulos
19
REFERENCIAS
21
Capítulo I. Seguridad en correo electrónico 1.1 Introducción (Antecedente ( Antecedentes) s) Los creadores de Arpanet (la red que a la larga terminaría por convertirse en Internet) no tenían en mente un sistema de comunicaciones que uniera a personas de todo el planeta, pero en cuanto hubo dos o tres decenas de nodos en la red sus usuarios convirtieron ese conjunto de ordenadores conectados en un sistema de comunicaciones personales y profesionales prácticamente prácticamente por casualidad. La idea de intercambiar mensajes electrónicos entre usuarios de un mismo ordenador no era nueva, ya que por aquel entonces lo habitual era compartir el ordenador con otros usuarios. Cada uno de los ellos tenía reservado un espacio en el ordenador en el que se le podían dejar mensajes, igual que si fuera el buzón de su casa. Cualquier usuario le podía enviar un mensaje a otro, pero sólo el propietario de cada uno de los buzones podía leer su contenido. Al ser uno de sus objetivos unir ordenadores ordenadores dispersos geográficamente, geográficamente, la red creada por la ARPA cambió todo esto e hizo que el correo electrónico se convirtiera en algo realmente útil, ya que permitía a los usuarios intercambiar ideas y proyectos cómoda y rápidamente, convirtiéndose en el servicio más usado de la red. El primer intercambio de correo electrónico entre dos ordenadores fue llevado a cabo en 1971 por Ray Tomlinson, un ingeniero de Bolt Beranek and Newman, la empresa encargada de poner en marcha Arpanet.Algún tiempo antes Tomlinson había escrito un programa para enviar y leer correo electrónico. Este programa estaba dividido en dos partes: para enviar el correo se usaba un programa llamado SNDMSG y para leerlo se usaba READMAIL, pero estaba pensado para manejar correo dentro de un sólo ordenador. A Tomlinson se le ocurrió hacer un «apaño» a SNDMSG de tal forma que fuera capaz de enviar los mensajes de un ordenador a otro. Para ello modificó el programa de tal forma que era capaz de enviar los mensajes de un ordenador a otro usando CPYNET, un protocolo también creado por él para copiar ficheros de un ordenador a otro. En julio de 1972 se propuso que los programas de Tomlinson pudieran funcionar usando el protocolo FTP (File Transfer Protocol, Protocolo de Transferencia de Ficheros), que se estaba diseñando para enviar ficheros de un ordenador conectado a Arpanet a otro. En agosto de 1972 se publicó el documento que describía el protocolo FTP, éste incluía las modificaciones necesarias para poder intercambiar correo electrónico, aunque con el tiempo el correo electrónico llegó a tener sus propios protocolos. El correo electrónico es una aplicación de Internet que permite el intercambio de archivos entre diferentes ordenadores conectados a la red. Los servicios de correo electrónico otorgan a sus usuarios un buzón electrónico, es decir, un espacio de almacenamiento en un ordenador conectado de manera constante a la red, al que se suele llamar servidor; espacio que se identifica a través de una secuencia única e irrepetible que constituye la dirección electrónica. El servidor de correo electrónico acepta y almacena los mensajes dirigidos a cada buzón, de manera que el destinatario, mediante el empleo de una aplicación aplicación adecuada de gestión de correo electrónico, puede acceder a ellos a través de cualquier ordenador que disponga de una conexión a Internet.
En una sociedad como la nuestra, llamada ya sociedad de la información, la merma en las posibilidades comunicativas no sólo es consecuencia del subdesarrollo sino causa del mismo. Por franjas de edades la situación es clara, los jóvenes mantienen una relación más cordial con el universo de las TIC y un empleo más asiduo de sus aplicaciones en el ámbito de la comunicación comunicación interpersonal. El correo electrónico constituye una de las herramientas TIC más empleadas por los internautas y una de las más consolidadas en su uso, ya que no sólo fue una de los primeras en aparecer desde un punto de vista histórico, sino que es, en muchos casos, el punto de acercamiento inicial de gran parte de los usuarios al entorno de la red, y la puerta de entrada a otros sistemas de comunicación del medio informático. El creciente desarrollo de las TIC ha permitido la proliferación de toda una variedad de nuevos contextos de interacción cuya observación y análisis no resultan ajenos a los intereses de las disciplinas humanísticas, que en los últimos años vienen interesándose por cuestiones de la comunicación en la red. Todo el mundo hace uso del correo electrónico. Es la segunda aplicación más utilizada sobre la Internet además del explorador. Lo que no te percatas es del nivel significativo de ataques existentes derivados del uso del correo electrónico. Y en lo concerniente a tu privacidad, el mal uso del e-mail estriba en comprometer y/o divulgar el contenido del mensaje, o proporcionar información spammer acerca de ti. El propósito de éste módulo es proveerte de información sobre cómo funciona el e-mail, la utilización segura de la herramienta, ataques basados basados en e-mail y las estrategias de seguridad para el e-mail.
1.2 Planteamiento del problema Además de ofrecer muchos beneficios los correos electrónicos también poseen algunos riesgos. Los hackers son cada vez más hábiles en sus ataques a organizaciones mediante el uso de mensajes electrónicos, incluyendo la interceptación para conseguir información confidencial o la falsificación de correos electrónicos (email spoofing) con la intención de redireccionar a sitios webs con phishing o provocar descargas maliciosas. No se trata de ser alarmistas, pero la realidad es que en Internet existen todo tipo de trampas y artimañas diseñadas para obtener algún tipo de beneficio de los usuarios, y actualmente la mayor parte de esas amenazas llegan en forma de mensajes de correo electrónico. Afortunadamente, hay algunas soluciones para correo electrónico que pueden ayudar a Afortunadamente, proteger al usuario y a su organización de estas amenazas. Las firmas digitales de correo electrónico y el cifrado garantizan la privacidad del mensaje y evitan que la información confidencial caiga en las manos equivocadas. A la vez le asegura al receptor que el correo en verdad proviene de usted y que este no ha sido alterado desde que fue enviado.
1.2.1 Descripción ¿Cuántas cuentas de correo electrónico gestionamos en nuestro día a día? ¿Cuántos correos electrónicos electrónic os leemos a lo largo de un mes? El correo electrónico es una herramienta que en muchas ocasiones tiene una importancia estratégica. Esta herramienta ha sustituido casi por completo al correo tradicional e incluso a los servicios de mensajería ahorrando a la empresa mucho dinero, eso sin contar los grandes beneficios en cuanto a disponibilidad, accesibilidad, rapidez, posibilidad de enviar a múltiples destinatarios, múltiples documentos adjuntos, acuse de recibo, y por supuesto ahorro en tiempo y dinero en sobres, papel y sellos. Sin embargo, al mismo tiempo, al ser una herramienta tan utilizada es también una de las fuentes más comunes de ataques y de introducción de malware por parte de los ciberdelincuentes. En un correo electrónico se pueden enviar todo tipo de documentos, videos, audio, etc. La tendencia natural es leer todos los correos y abrir todos los adjuntos que nos llegan, pero este es el primer error de los muchos que podemos cometer al trabajar con el correo electrónico. Este proyecto final tiene como objetivo demostrar cual es la necesidad de implementar medidas de seguridad para los correo electrónico en nuestros computadores y en las organizaciones moderna. Nos enfocaremos en los riesgos de usar correos electrónicos, explicaremos cómo firmar digitalmente e encriptar los mensajes pueden ayudar a reducir estos riesgos, explicaremos también cómo se debe firmar y cifrar los correos electrónicos.
1.2.2 Preguntas de investigación 1. ¿Quién debe leer y responder al correo electrónico de la empresa? ¿cuál es el sistema que debe seguir para usarlo con seguridad? 2. ¿Cuáles protocolos de transporte transport e y de acceso se deben monitorear en una empresa? 3. ¿Cuáles son son los peligros peligros más frecuentes frecuentes asociados asociados a los correos electrónicos? electrónicos? 4. ¿Cuáles son los riesgos de de utilizar utilizar correo electrónico? electrónico?
1.3. Objetivos
1.3.1. Objetivo General En este informe se pretende identificar cuáles son esas amenazas que afectan a los correos electrónicos y al mismo tiempo, ofrecer una completa lista de consejos y medidas a tener en
cuenta para seguir haciendo uso de un sistema de comunicación tan habitual, con las mayores garantías de seguridad.
1.3.2. Objetivos Específicos ● Evaluar evidencias para determinar si se salvaguardan la integridad de los datos mediante correos electrónicos. electrónicos. ● Identificar Identif icar las vulnerabilidades en los ataques para los riesgos en el correo electrónico electrónic o de una organización. ● Elaborar los lineamientos necesarios que coadyuven a tener los controles de seguridad informática en los correos electrónicos de una organización. ● Aplicar herramientas para la seguridad del correo electrónico de forma tal de minimizar amenazas y riesgos.
1.4 Justificación Es difícil imaginar los negocios o la vida cotidiana sin el uso de correos electrónicos o mensajerias instantaneas; la conveniencia y la comunicación instantánea que el correo electrónico ofrece ha hecho de la comunicación electrónica un componente esencial del día a día de los negocios. Mas de 100 billones de correos electrónicos relacionados a actividades comerciales son enviados y recibidos diariamente. Es por esta razón que garantizar la seguridad, confidencialidad, integridad y autenticación de los correos es un trabajo sumamente importante es cualquier institución o negocio.
1.5 Limitaciones En la actualidad las computadoras se utilizan no solo como herramientas auxiliares de apoyo a diferentes actividades humanas, sino como medio para obtener y conseguir información, lo que las ubica también como un medio de comunicación muy eficaz y condiciona su desarrollo a la informática; tecnología cuya esencia se resume en la creación, procesamiento, procesamien to, almacenamiento, transmisión y administración administración de datos. La informática está hoy presente en casi todos los campos de la vida moderna, con mayor o menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnológicos y comienzan a utilizar los sistemas de información para ejecutar tareas que en otros tiempos realizaban realizaba n manualmente. manualmente. La ocurrencia de delitos informáticos en las organizaciones no debe en ningún momento impedir que éstas se beneficien de todo lo que provee la tecnología de la información (comunicación remota, interconectividad, comercio electrónico, etc.), sino por el contrario, dicha situación debe plantear un reto a los profesionales de la informática de manera que se realicen esfuerzos encaminados a robustecer los aspectos de seguridad, controles, integridad de la información, etcétera. Nuevas formas de hacer negocios como el comercio electrónico puede que encuentre el eco esperado en los individuos y en las empresas hacia los que va dirigido ésta tecnología,
por lo que se deben crear instrumentos legales efectivos que ataquen ésta problemática con el único fin de tener un marco legal que se utilice como soporte para este tipo de transacciones
Capítulo II. Marco Teórico Correo electrónico: (en inglés:e-mail), es un servicio de red que permite a los usuarios enviar y recibir mensajes (también denominados mensajes electrónicos o cartas electrónicas)mediante electrónicas)m ediante sistemas de comunicación comunicación electrónicos. Principalmente se usa este nombre para denominar al sistema que provee este servicio en Internet, mediante el protocolo de comunicación, aunque por extensión también puede verse aplicado a sistemas análogos que usen otras tecnologías. Por medio de mensajes de correo electrónico se puede enviar, no solamente texto, sino todo tipo de documentos digitales dependiendo del sistema que se use. Su eficiencia, conveniencia y bajo coste están logrando que el correo electrónico desplace al correo ordinario para muchos usos habituales.
Origen:[1] [2] El correo electrónico antecede a Internet, y de hecho, para que ésta pudiera ser creada, fue una herramienta crucial. En una demostración del MIT(Massachusetts Institute of Technology) de 1961, se exhibió un sistema que permitía a varios usuarios ingresar a una IBM 7094 desde terminales remotas, y así guardar archivos en el disco. Esto hizo posible nuevas formas de compartir información. El correo electrónico comenzó a utilizarse en 1965 en una supercomputadora de tiempo compartido y para 1966 se había extendido rápidamente para utilizarse en las redes de computadoras. En 1971, Ray Tomlinson incorporó el uso de la arroba(@) como divisor entre el usuario y la computadora en la que se aloja el correo, porque no existía la arroba en ningún nombre ni apellido. En inglés la arroba se lee «at» (en). Así, ejemplo@máquina.com selee ejemplo en máquina punto com. El nombre correo electrónico proviene de la analogía con el correo postal: ambos sirven para enviar y recibir mensajes, y se utilizan "buzones" intermedios(servidores), en donde los mensajes se guardan temporalmente antes de dirigirse a su destino, y antes de que el destinatario los revise.
Proveedor de correo: Para poder enviar y recibir correo electrónico, generalmente hay que estar registrado en alguna empresa que ofrezca este servicio (gratuito o de pago). El registro permite tener una dirección de correo personal única y duradera, a la que se puede acceder mediante un nombre de usuario y una Contraseña. Hay varios tipos de proveedores de correo, que se diferencian sobre todo por la calidad del servicio que ofrecen. Básicamente, se pueden dividir en dos tipos: los correos gratuitos y los de pago.
Escritura del mensaje: No se pueden mandar mensajes entre computadores personales o entre dos terminales de una computadora central. Los mensajes se archivan en un buzón(una manera rápida de mandar mensajes). Cuando una persona decide escribir un correo electrónico, su programa (o correo web) le pedirá como mínimo tres cosas:
● Destinatario: Destinatar io: una o varias direcciones de correo a las que ha de llegar el mensaje ● Asunto: una descripción corta que verá la persona que lo reciba antes de abrir el correo. ● El propio mensaje. Puede ser sólo texto, o incluir formato, y no hay límite de tamaño además, se suele dar la opción de incluir archivos adjuntos al mensaje. Esto permite traspasar datos informáticos de cualquier tipo mediante el correo electrónico. Para especificar el destinatario del mensaje, se escribe su dirección de correo en el campo llamado Para dentro de la interfaz (ver imagen de arriba). Si el destino son varias personas, normalmente se puede usar una lista con todas las direcciones, separadas por comas o punto y coma. Además del campo Para existen los campos CC y CCO, que son opcionales opcionales y sirven para hacer llegar copias del mensaje a otras personas: ● Campo CC(Copia de Carbón): Carbón): quienes estén en esta lista recibirán también el mensaje, pero verán que no va dirigido a ellos, sino a quien esté puesto en el campo Para .Como el campo CC lo ven todos los que reciben el mensaje, tanto el destinatario principal como los del campo CC pueden ver la lista completa. ● Campo CCO(Copia de Carbón Oculta): una variante del CC, que hace que los destinatarios reciban el mensaje sin aparecer en ninguna lista. Por tanto, el campo CCO nunca lo ve ningún destinatario. Un ejemplo: Ana escribe un correo electrónico a Beatriz(su profesora), para enviarle un trabajo. Sus compañeros de grupo, Carlos y David, quieren recibir una copia del mensaje como comprobante de que se ha enviado correctamente, así que les incluye en el campo CC. Por último, sabe que a su hermano Esteban también le gustaría ver este trabajo aunque no forma parte del grupo, así que le incluye en el campo CCO para que reciba una copia sin que los demás se enteren.
Capítulo III. Título de Tema del capítulo (desarrollo del tema, por ejemplo, si es aplicación instalación, configuración, etc.)
El correo electrónico El correo electrónico es una aplicación de Internet cuya finalidad consiste en procurar la comunicación entre dos o más personas a través del intercambio de textos escritos digitalizados. Este medio permite y genera un tipo de interacción verbal mediatizada de carácter diferido. Se trata de un sistema basado en un principio simple: un usuario de correo electrónico dispone de un espacio (buzón) en un ordenador conectado constantemente a la red (servidor) en el que se almacenan los mensajes enviados por otros usuarios. Este buzón se identifica mediante una secuencia llamada dirección electrónica. Cuando se quiere acceder a la consulta de los mensajes recibidos basta con conectarse con el servidor y abrir, mediante la palabra clave, el buzón. Los mensajes pueden conservarse en el servidor, ocupando un espacio en el mismo, o descargarse y guardarse en el ordenador del usuario. El correo electrónico se diferencia en un aspecto muy importante del resto de las aplicaciones de Internet como Telnet, FTP o el Web. Todos estos servicios y protocolos
presuponen una conexión directa entre remitente y destinatario, es decir, entre la máquina cliente y la máquina servidor, en tiempo real. En el caso del correo electrónico esta relación es diferente. El ordenador del destinatario no tiene que estar conectado a la red al mismo tiempo que el del remitente, ya que el en el correo electrónico intervienen unas entidades denominadas Mail-Router - servidores locales de correo electrónico- que reciben y aceptan los mensajes para transmitirlos, posteriormente, a sus destinatarios finales. Para llevar a cabo esta mediación los usuarios deben utilizar programas adecuados de gestión de correo que dominen el protocolo SMTP. Este protocolo no sólo le es útil al remitente de un mensaje para asegurar su recepción, sino que es empleado por los Mail Router para hacer que los mensajes circulen entre ellos.
3.1 Arquitectur Arquitecturaa Para la construcción de los mensajes tal como se los explico previamente se necesitan sistemas que interactúen con el usuario y a su vez, sistemas que interactúen entre sí para el envío de la información, información, estas dos sub-estructuras sub-est ructuras comparten características y establecen un trabajo conjunto mediante distintos de protocolos. protocolos.
Fig. 3. 1 Diagrama esquemático de la arquitectura de un sistema de Correo Electrónico [3]
3.1.1 Agente de Usuario El agente de usuario, comúnmente conocido como lector de correo o cliente de correo, es un programa diseñado para redactar, enviar y responder mensajes, así como para leer los mensajes nuevos que han llegado la dirección de correo asignada. El agente de usuario, o UA (User Agent, por sus siglas en inglés) posee además características que le permiten manipular el correo entrante, asignándole etiquetas o redireccionando a buzones secundarios, que son mostrados al usuario como carpetas. El UA tiene además funcionalidades avanzadas según sea su configuración y utilidad, como la de generar respuestas automáticas según el caso y utilidad, como por ejemplo cuando el usuario se encuentra de vacaciones o fuera de su sitio de trabajo. Además permiten configurar las características especiales de RFC 5322 para cada mensaje o grupo de
mensajes y administran las seguridades necesarias definidas por el remitente y el destinatario. Para que el mensaje pueda ser enviado, aparte de estar construido como se explicó previamente, debe tener una dirección de destino. Esta puede representar a un usuario individual o una lista de correo, según estén configuradas. Sin esta dirección el servidor no puede construir el sobre para enviar el mensaje. La forma de direccionamiento más habitual es: nombre-de-usuario@servidor-de-cuenta. Donde ‘@’ se usaba como separador para diferenciar el nombre del servidor. Este símbolo se planteó porque ningún nombre o apellido (en inglés) poseía este carácter. Técnicamente se lee: nombre-de-usuario ‘en’ servidor -de -de cuenta Considerando que cada nombre de usuario debe ser único dentro de casa proveedor. Una vez definido la dirección del destinatario el mensaje pasa al Agente de transferencia, mejor conocido como servidor de correo.
3.1.2 Servidor de Correo (Agente ( Agente de transferencia) Para que el mensaje adecuadamente construido llegue hasta el servidor del remitente y a partir de éste al servidor del destinatario es necesario hacer uso un protocolo que es el núcleo del correo electrónico en internet, el Protocolo Simple de Transferencia de Correo (Simple Mail Transfer Protocol, o SMTP, por sus siglas en inglés). SMTP, definido en el RFC 521 y actualizado en el RFC 5321, define la forma de comunicación entre cliente (remitente) y servidor (destinatario) para que los mensajes sean enviados. Como la mayoría de los protocolos de Internet, está escrito en ASCII simple, siendo esta característica, la simplicidad, la que ha permitido la realización de pruebas y depuraciones del protocolo ya que permiten que se hagan manualmente desde una consola conectada al puerto específico, permitiendo encontrar encontrar errores de manera más sencilla. Para transferir un mensaje, el cliente se comunica con el puerto 25 del servidor, que es el que escucha solicitudes SMTP. Previo al envío de mensajes, cliente y servidor realizan el establecimiento de la conexión donde se intercambian los parámetros en común que tienen el cliente y el servidor para la conexión, además de las direcciones origen y destino del mensaje. El servidor hace uso de la dirección destino para construir el sobre del mensaje y enviarlo a través de internet. Si el cliente tiene más mensajes para enviar, la conexión se mantiene, caso contrario se da por terminada una vez enviado el último mensaje. El ejemplo de la figura 3.2 muestra como el servidor (S) y el cliente (C) establecen la conexión y transmiten mensajes través de sockets TCP para que el correo pueda ser enviado del cliente al servidor. El Cliente se comunica con el servidor mediante comandos específicos que sirven para determinar las acciones que requiere del servidor, tales como HELO (abreviatura de Hello, el saludo del cliente), MAIL, FROM, RCTP TO, DATA y QUIT; cada uno de ellos puede explicarse por sí mismo. Cada una de estas líneas termina con el comando , donde CR representa el retorno del carro (Carriage Return) y LF alimentación de línea (Line Feeding), comandos que sirven para emular el funcionamiento de una máquina de escribir y le indican al servidor que la línea a terminado y que comenzará una nueva. El cliente además envía una línea que contiene solo un punto (.) para indicarle al servidor el fin del
mensaje. Dentro de la configuración ASCII del protocolo, esta línea final es .. A partir de esta línea el cliente puede iniciar el envío de más mensajes de correo o cerrar la conexión
. Figura 3.2 Ejemplo de un envío de mensaje SMTP
El servidor de correo, en respuesta a los comandos del cliente, devuelve mensajes que están precedidos por un código que muestra su funcionamiento y ocasionalmente una pequeña explicación. A partir del RFC 5321, SMTP agrego diversas extensiones para corregir ciertas falencias que tenía el protocolo original. A estas extensiones, en general, se las conoce como ESMTP (SMTP Extendido, o Extended SMTP, por sus siglas en inglés). Para invocar estas funciones, en lugar de HELO el cliente envía EHLO, lo que hace que el servidor responda con un set adicional de características, descritas en la tabla 1 , para que el cliente las conozca y pueda hacer uso de ellas según sus requerimientos.
Tabla 1. Características adicionales de ESMTP [3]
Tipos de mensaje de correo electrónico Descripción de cada uno de las clases de mensajes de textos susceptibles a aparecer en un buzón de correspondencia correspondencia electrónica.
Correo
personal
Un mensaje de correo electrónico personal constituye un texto enviado desde un buzón de correo identificado a otro buzón de correo igualmente concreto, como resultado de una relación de correspondencia interindividual y privada, protegida por las leyes de privacidad de la correspondencia. correspondencia. Los correos personales tratan temáticas muy variadas cuya seña de identidad es su carácter particular, íntimo y privado. Desde un punto de vista lingüístico presentan un registro distendido y,, muchos rasgos de coloquialismo. La variedad estilística es muy amplia, ya que dependerá de factores como la identidad del autor del texto o la relación entre los interlocutores. No obstante, al observar los textos descubrimos que, generalmente, participan de una modalidad de escritura poco formal, que filtran con facilidad los rasgos propios de la escritura electrónica: electrónica: violaciones del código ortográfico, predominio de la unidad informativa frente a la estructura de conexión textual, elipsis, anacolutos, etc.
Correo
profesional
Los correos profesionales son mensajes de carácter privado enviados desde un buzón de correo particular a otro buzón de correo de iguales características. Algunos pueden manifestar un carácter semipúblico aunque siempre de carácter restringido ya que, en ocasiones, el intercambio atañe a un grupo de profesionales o a un equipo dentro de una institución. La correos principalsediferencia respecto al relativos correo personal estriba en la temática tratada, ya que estos ocupan de asuntos al ámbito profesional o las relaciones laborales. En algunas áreas laborales este tipo de interacciones se encuentra muy extendida. Los intercambios de correo electrónico ofrecen muchas ventajas en el ámbito de las relaciones de trabajo, puesto que permiten el desarrollo efectivo de interacciones en grupo, además de ofrecer un sistema sencillo de almacenado de mensajes con el que llevar un registro del intercambio. El correo electrónico, en su origen, se encuentra muy relacionado con el mundo laboral, ya que sus primeros usos se llevaron a cabo en un ámbito profesional concreto, el mundo universitario. Además, la primera conquista de este medio de comunicación fuera del mundo de la investigación se produce en las grandes compañías y mundo de negocios.
Correo
institucional
Los correos institucionales se inscriben en el marco de una relación de correspondencia entre una institución y los miembros de ésta o entre instituciones con locutores concretos e individuales. individua les. Estos mensajes tienen carácter oficial y versan sobre temáticas muy concretas, llegando a constituirse en anuncios públicos de información. Mantienen puntos en común con los correos profesionales, puesto que en gran parte de los intercambios, al menos uno de los participantes se encuentra desarrollando su labor profesional. Además, al igual que sucede con los correos profesionales, profesionales, por oposición con los personales, la temática de las secuencias no es libre, sino que se haya asociada a temas concretos que atañen al ámbito de la institución. El elemento individualizad individualizador or de este tipo de mensajes lo constituye su carácter oficial y el carácter de vinculación que establecen con el régimen de la institución a la que representan.
Correo
comercial
y
publicitario
Los correos publicitarios o comerciales son mensajes enviados desde un buzón destinado a la expedición de publicidad hacia múltiples buzones de uso particular. Se inscriben en el marco de una correspondencia de tipo publicitario cuyo fin es enviar una información sobre un servicio o producto con el objetivo de incitar a su consumo. En muchas ocasiones se limitan al envío de contenido publicitario, pero en otras muchas proponen el establecimiento directo de un intercambio comercial entre el emisor y el receptor. Este intercambio suele desarrollarse a través de la visita a una página web de la compañía anunciante, que generalmente viene referida a través de un enlace directo en el mensaje. Si el receptor accede al consumo del producto, la visita a la web comercial acostumbra a verse completada con el desarrollo de un intercambio a través de correo electrónico. La modalidad de interacción desencadenada puede variar y, así, en lugar del correo electrónico es posible el empleo de otro medio de contacto como, por ejemplo, el teléfono.
Correo
de
listas
Los correos de listas son mensajes enviados, tal y como indica su denominación, a una lista de remitentes que comparten intereses comunes. Se trata, en consecuencia, de una modalidad de intercambio con coenunciadores múltiples. Dichos grupos se establecen en función de un número ilimitado de criterios: aficiones comunes, temas de intereses cercanos, cuestiones profesionales, etc. En la comunidad de Internet cualquier colectividad es susceptible de formar una lista de correo. Desde un punto de vista técnico este modo de interacción requiere el empleo de unos protocolos de redireccionamiento especiales que sirven para configurar la lista de destinatarios y llevar a cabo la gestión de los mensajes. En estos procesos intervienen aplicaciones específicas para la gestión de listas. Existen dos tipos principales de listas: las de distribución y las de discusión, cuya configuración enunciativa resulta muy distinta, incidiendo directamente en el tipo de mensajes que circulan por ellas.
Correo
spam
o
correo
no
solicitado
En la categoría spam se circunscriben los mensajes recibidos en los buzones de correo
electrónico sin que hayan sido solicitados ni autorizados por sus destinatarios, mediante la captación fraudulenta de direcciones. Esta modalidad de correos, cada día en mayor alza, se identifica con el envío masivo de mensajes. Aprovechándose de la capacidad técnica del envío múltiple, algunas empresas violan la privacidad de los usuarios de correo, invadiendo sus buzones con mensajes no deseados. El término spam se ha convertido en sinónimo de UCE (Unsolicited Comercial E-mail) aunque también puede emplearse expresiones como correo electrónico no deseado o correo basura. La proliferación de los spam es uno de los problemas más serios que perturban la mensajería digital, afectando al comercio electrónico y creando un reflejo negativo en los destinatarios que tienden a borrar los mensajes de origen incierto de manera automática. Para prevenirlos muchos programas de gestión proponen filtros antispam que ayudan a detener la recepción de estos correos basuras. A pesar de todo, su volumen aumenta vertiginosamente y la saturación de este tipo de mensajes genera el fenómeno del buzón basura: muchos usuarios de correo renuncian a buzones repletos de spam. Ciertos mensajes publicitarios pueden ser spam, si bien otros han sido autorizados. Además, aunque la mayoría de los correos spam son de tipo publicitario publicitario otros pueden presentar intenciones diferentes. Un caso muy importante de correos spam, son los virus, enviados masivamente a buzones de correo.
Mensajes
generados
automáticamente
Ciertos mensajes recibidos a través de la mensajería digital son enviados automáticamente por un programa configurado para tal fin. Estos programas hacen circular correos que contienen textos modelos redactados para cumplir una función determinada, que puede resolverse mediante un envío automatizado. En muchas ocasiones se utilizan para contestar de manera automática algunos mensajes previos. Pueden ser textos estándar o poseer categorías variables que se instancian a partir de datos extraídos de los textos a los que se responde. r esponde.
3.2 Protocolos 3.2.1 Protocolos de Transporte 3.2.1.1 SMTP SMTP (Simple Mail Transfer Protocol) es, como su nombre indica, un protocolo de comunicaciones para el transporte y entrega del correo electrónico; se trata del protocolo estándar para intercambio de mensajes, por lo que cualquier servidor de correo que desee recibir e-mail e-mail en términos generales, deberá ser capaz de “entender” SMTP. 8. Cuando el usuario compone un correo electrónico, su cliente de correo (MUA, como veremos a continuación) debe conectarse al servidor de correo corporativo (MTA) –el –el que va a utilizarse para enviar el mensaje- y, mediante el protocolo SMTP, indicarle los parámetros necesarios para procesar dicho mensaje (a quién va dirigido, quién lo envía, cuál es el cuerpo, etc.). Si la negociación es correcta, el servidor recogerá el mensaje y se encargará, a su vez, de transmitirlo a otro servidor de correo, posiblemente el gestor del dominio de correo al que va dirigido dicho mensaje. Este proceso es transparente para el usuario, ya que la negociación con el MTA la realiza el cliente de correo; no obstante, podríamos
simular esta negociación mediante un cliente telnet y las órdenes SMTP adecuadas, tal y como se muestra a continuación continuación –de –de forma simplificada-: simplificada-: a. $ telnet mta 25 b. Trying 192.168.1.51... 192.168.1.51... c. Connected to mta. d. Escape character is '^]'. e. 220 mta mta ESMTP ESMTP Service (Lotus Domino Domino Release Release 9.0.0) ready at Mon, 11 Jul 2011 03:53:30 +0200 f. helo aaa g. 250 mta Hello aaa ([172.17.0.14]), pleased to meet you h. mail from: test@dominio. te
[email protected] es i. 250
[email protected] te
[email protected]... ... Sender OK j. rcpt to:
[email protected] [email protected] k. 250
[email protected]... Recipient OK l. data m. 354 Enter message, end with "." on a line by itself n. Cuerpo del mensaje o. . p. 250 Message accepted for for delivery q. quit r. 221 mta SMTP Service closing transmission channel s. Connection closed by foreign host. t. $
3.2.1.2 ESMTP A medida que el número de usuarios de correo electrónico ha ido creciendo y las funcionalidades en los entornos de correo se han ampliado, se ha hecho necesaria la extensión del protocolo SMTP –muy –muy básico- para incluir nuevas capacidades en el mismo, dando lugar a ESMTP o SMTP Extendido. La mayor parte de servidores de correo utilizados utilizados en la actualidad proporcionan a sus usuarios capacidades SMTP extendidas, siendo siempre compatibles con el protocolo SMTP original; los administradores de sistemas de correo electrónico deben revisar las extensiones habilitadas en sus servidores, en especial las relativas a autenticación de usuarios o transporte seguro de datos para que en caso de necesitar la utilización de alguna de ellas, y siempre que técnicamente sea posible, se incorporen correctamente correctamente al entorno de correo corporativo.
3.2.2 Protocolos de Acceso Dentro de sus características, SMTP fue diseñado para ser un protocolo de empuje, es decir, no está diseñado para solicitar información de un repositorio. Durante los primeros años del correo electrónico, cuando el agente de usuario y el servidor de correo eran procesos diferentes de un mismo equipo, SMTP ‘empujaba’ el correo entrante a un archivo específico donde el usuario podía consultarlo. Sin embargo, con la introducción de las computadoras personales y la movilidad los agentes de usuario debían solicitar la información que había sido empujada al servidor de correo, cosa que SMTP no estaba facultado para realizar. Para este cometido se diseñaron protocolos que transmiten los mensajes del servidor hacia el cliente bajo demanda. Entre los más importantes están:
3.2.2.1 POP3 Definido en el RFC 1393, el Protocolo de Oficina de Correos Versión 3 (Post Office Protocol Ver. 3, por sus siglas en inglés) es un protocolo sencillo y limitado de acceso de correo que permite recibir en el agente de usuario los mensajes recibidos. Cuando inicia la conexión a través del puerto 110, envía las credenciales de autenticación al servidor para poder identificar al usuario. Cuando Cuando ha sido autenticado, el protocolo procede a ‘descargar’ todos los mensajes nuevos hacia el agente de usuario, etiqueta los mensajes descargados para su eliminación y maneja estadísticas simples de uso. Cuando el cliente decide terminar la comunicación, el protocolo elimina del servidor todos los mensajes marcados y descargados, dejando únicamente las copias de los mensajes dentro del agente de usuario. Un problema existente con esta configuración es la limitación de lectura de los mensajes solamente en el agente de usuario en el que fueron descargados, eliminando la posibilidad de ubicuidad de comunicación. Para resolver este y otros problemas, se creó IMAP.
3.2.2.2 IMAP Definido en el RFC 3501, el Protocolo de Acceso a Mensajes de Internet (Internet Messages Access Protocol, por sus siglas en inglés), presenta la evolución evolución de POP3 ya que permite mantener copias de los mensajes recibidos en el servidor de correo y en cuantos agentes de usuario estén conectados correctamente al mismo, además de permitir la organización de los mensajes entrantes en distintos buzones o ‘carpetas’, y manteniendo esta configuración en todos los agentes de correo conectados. Adicionalmente IMAP permite que el usuario reciba extractos de sus mensajes recibidos, como las cabeceras o partes específicas de adjuntos MIME, según sus requerimientos. Además de estos protocolos, protocolos, existen existen protocolos propietarios, propietarios, como como Microsoft Exchange, Exchange, que cumplen con las mismas funciones, dentro de entornos cerrados y privados.
3.2.2.3 Webmail Es cada vez más habitual el acceso al correo, tanto personal como corporativo, a través de un navegador web, lo que se conoce como webmail o correo web. Estos accesos se realizan a través de protocolo HTTPS (es obligatorio el uso de protocolo seguro, jamás debemos utilizar el protocolo HTTP para acceder al correo electrónico) contra una determinada dirección y, tras autenticarnos convenientemente a través del interfaz web, se muestra al usuario el contenido de sus carpetas de correo y las diferentes opciones de gestión del mismo (envío, borrado, archivado…). Desde un punto de vista técnico, un webmail no es más que un entorno de gestión de mensajes de correo a través de web; los protocolos de transporte, tecnologías implicadas, etc. son los mismos que con el uso de MUA tradicionales, con la diferencia de que estos elementos se utilizan entre el servidor de correo y el servidor web, no entre el MUA y el
MTA, y el navegador, a través de aplicaciones web, nos proporciona las capacidades de gestión de mensajes de cualquier cliente nativo.
3.3 Peligros más frecuentes asociados al correo electrónico
En la actualidad, las amenazas más habituales asociadas al uso del correo electrónico son las siguientes: • SPAM (correo basura): se calcula que más del 80 % de correos electrónicos enviados en todo el mundo actualmente son SPAM, y este porcentaje sigue creciendo. • Phishing (captura de credenciales): consiste en un método fraudulento de capturar información sensible, como nuestros números y claves de cuentas bancarias o de tarjetas de crédito. Se nos intenta engañar con mensajes que aparentan ser mensajes oficiales de entidades financieras o empresas de nuestra confianza. • Estafas de todo tipo: donde se nos intenta vender productos falsos o inexistentes, se nos solicita dinero aludiendo a buenas causas, ofertas de trabajo inexistentes, y un largo etcétera. • Correos con ficheros adjuntos maliciosos (virus, gusanos, troyanos…). Actualmente es una de los peligros más extendidos. Recibimos un mensaje (de un remitente no necesariamente necesariamen te desconocido ya que puede estar falsificado) con un fichero adjunto que nos invita a abrirlo. Dicho fichero contiene código malicioso que, si no disponemos de software antivirus o antimalware adecuado, infecta nuestro equipo, con consecuencias diversas. Muchos de estos ficheros infectados a menudo utilizan la libreta de direcciones de nuestro cliente de correo para reenviarse a su vez a todos nuestros contactos. • Cadenas de mensajes falsos (hoaxes o bulos): generalmente se trata de mensajes variados acerca de hechos o falsas alarmas de cualquier tipo, en los que se nos pide que reenviemos y difundamos el mensaje entre nuestros conocidos. El problema de las cadenas de mensajes falsos es el volumen de correos electrónicos que crea. Si una persona envía un mensaje a 10 personas y cada persona que le recibe envía el mensaje a otras 10, en poco tiempo se habrán enviado millones de mensajes de correo, con el coste asociado que esto tiene en cuando al tiempo de millones de personas leyendo el mensaje y el coste de los servidores de correo que tienen que recibir, guardar y enviar estos millones mensajes (y su posible caída de rendimiento y lentitud por la sobrecarga).
3.4 Riesgos asociados al correo electrónico Nadie duda de la revolución que el correo electrónico ha supuesto a la hora de trabajar en cualquier organismo, introduciendo innumerables ventajas de entre las que destaca la rapidez de comunicación y envío de datos; pero como cualquier cambio, el correo electrónico introduce una serie de riesgos que es necesario conocer y, hasta donde sea posible, mitigar, para garantizar la confidencialidad, integridad y disponibilidad de la
información corporativa. Por este motivo, el Esquema Nacional de Seguridad introduce medidas de seguridad relativas a los servicios de correo electrónico ([mp.s.1]) que, con independencia de la categoría del sistema, especifica la obligatoriedad de proteger la información transmitida tanto en el cuerpo como en los anexos de un mensaje, de proteger la información de encaminamiento y establecimiento de conexiones y de proteger a la organización frente a las amenazas especialmente vinculadas al correo electrónico, como el spam, el software dañino o el código móvil. La organización debe ejecutar un análisis de riesgos que evalúe amenazas, probabilidades, impactos, riesgos efectivos, salvaguardas y riesgos residuales que afecten a los sistemas corporativos de correo electrónico, en función de su categoría y siguiendo las directrices definidas en el ENS ([op.pl.1]); dicho análisis suele y puede estar contenido en un análisis global de riesgos para la organización, y permitirá conocer los principales riesgos a los que está expuesto el correo corporativo y las salvaguardas aplicadas para mitigarlos. Vamos a describir en este punto, sin tratar de presentar una relación exhaustiva, algunos de dichos riesgos.
3.4.1 Software Dañino El correo electrónico es un medio ideal para la propagación de software dañino, conocido como malware, a través de Internet. La rápida difusión de los mensajes, incluso sin intervención directa del usuario emisor, hace que cualquier tipo de malware enviado a través del correo electrónico pueda llegar en pocas horas a miles de usuarios, potenciales víctimas de dicho malware. 28. Para evitar la contaminación del receptor de un correo electrónico es necesario la utilización de sistemas antivirus, tanto en el equipo donde se lee el mensaje como en servidores de correo intermedios, así como un uso correcto del correo electrónico por parte del usuario: no ejecutar archivos adjuntos, no confiar en correos de destinatarios desconocidos (o conocidos que puedan ser sospechosos de haber sido falsificados), etc., tal y como veremos en los apartados correspondientes de la presente guía.
3.4.2 Spam Bajo la denominación SPAM se identifica el correo no deseado por el usuario, tanto publicitario como contenedor de ataques más severos a la seguridad de la información. Habitualmente el SPAM trata de ofrecer servicios fraudulentos, como la compra de productos falsificados o por debajo de su precio de coste (típicamente, medicamentos o artículos de lujo), pero bajo la etiqueta de correo no deseado es también común recibir ataques de phising; estos ataques consisten en el envío de correos con un origen aparentemente fiable (en general, entidades bancarias, aunque también han sufrido ataques de phishing otro tipo de servicios, como los ofrecidos por la Agencia Tributaria) pero que, mediante enlaces en el cuerpo del correo electrónico que dirigen al usuario a páginas web falsificadas, intenta obtener datos confidenciales confidenciales de su víctima (habitualmente, (habitualmente, credenciales de acceso a banca online).
3.4.3 Fugas de Información El correo electrónico es una potencial fuente de fugas de información, ya que permite remitir volúmenes relativamente importantes de datos a un tercero de una forma que no siempre es posible detectar; adicionalmente, si consideramos la facilidad con la que habitualmente los usuarios pueden acceder a correos externos a la organización – –en en especial, a través de web-, nos encontramos ante un punto de fuga de datos a considerar a la hora de implantar controles. Puede ser sencillo monitorizar el sistema de correo corporativo para detectar envíos de correos electrónicos de gran tamaño a direcciones ajenas a la organización (aunque el volumen de alertas generadas será muy considerable), pero la monitorización de correos externos es siempre complicada.
3.4.4 Ingeniería Social El correo electrónico puede convertirse en una herramienta utilizada contra la organización para ejecutar ataques de ingeniería social. Dichos ataques suelen tener como objetivo usuarios concretos que bien por su trabajo, bien por su nivel de privilegios en la red, pueden facilitar al atacante datos relevantes sin ellos saberlo, derivando en problemas de fugas de información, malware, malware, etc. como los indicados con anterioridad.
3.4.5 Daños a la Imagen I magen El uso del correo corporativo de forma que se degrade la imagen de la organización no es habitual, pero debemos tener en cuenta que un uso inadecuado de las direcciones de correo electrónico propias de una organización puede perjudicar seriamente a su imagen: si un usuario envía correos insultantes, de contenido ilícito, que fomenten actitudes contrarias a la convivencia… no sólo se perjudicará la imagen de esta persona, sino la de la organización en su conjunto; de esta forma, nuestra política de uso del correo electrónico debe reflejar claramente la prohibición del uso del correo corporativo con estos fines, minimizando así tanto la probabilidad como el impacto asociados al riesgo reputacional en el uso del correo.
3.4.6 Bulos El correo electrónico es un medio habitual de propagación de bulos (hoaxes), noticias falsas que intentan pasar por reales ante sus receptores; a diferencia de los fraudes, como el phishing, los bulos no tienen por qué tener propósito delictivo o de lucro, aunque pueden implicar impactos muy dañinos contra una organización. El envío de un hoax puede ser el medio para cometer un ataque de ingeniería social, de envío de software dañino, de recopilación de direcciones de correo electrónico o incluso un ataque semántico severo contra una determinada entidad. En cualquier caso, con independencia de su fin último, el procesamiento de los bulos debe considerarse un riesgo potencial para la seguridad corporativa. Es imposible detener el envío de bulos mediante mecanismos técnicos en exclusiva; las salvaguardas tecnológicas pueden reducir el riesgo, pero desde un punto de vista técnico los bulos se transmiten de forma lícita a través del correo electrónico: para el sistema de
correo se trata de mensajes legítimos enviados desde direcciones correctas propias o ajenas a la organización. Al tratarse de ataques semánticos, no sintácticos, la única forma de mitigarlos satisfactoriamente es mediante una correcta formación ([mp.per.4]) y concienciación ([mp.per.3]) de los usuarios de la organización, por lo que es obligatorio incluir estos controles en todos los casos, proporcionando a los usuarios directrices para detectar los bulos que reciben a través del correo electrónico.
REFERENCIAS [1] STALLINGS, William. CRYPTOGRAPHY AND NETWORK SECURITY PRINCIPLES AND PRACTICE. PRACTICE. Pearson Education Education Inc. 2014. [2] TANENBAUM, Andrew S.;WETHERHALL, David J. COMPUTER NETWORKS. Pearson Education Inc. as Prentice Hall. 2011. [3] TANENBAUM, Andrew S.; WETHERHALL, David J. COMPUTER NETWORKS. Pearson Education Inc. as Prentice Hall. 2011
