Por Qué TLS Puede No Ser Suficiente para Tu Estrategia de Cifrado de Correo Electrónico
La era digital ha revolucionado cómo vivimos nuestras vidas y cómo operan las empresas. Hoy en día, las empresas disfrutan de un mayor compromiso con sus clientes. Estas compañías también tienen a su disposición muchos más datos para comprender mejor su negocio. Estos datos permiten a las empresas cerrar brechas de ineficiencia, identificar oportunidades de crecimiento y trabajar mejor para sus clientes.
Estos datos, como era de esperar, son increíblemente valiosos. Protegerlos se ha vuelto crítico para la supervivencia de una empresa en un mercado muy competitivo. Cuando las organizaciones protegen su información personal identificable (PII), información de salud protegida (PHI), propiedad intelectual (IP) u otra información confidencial, aseguran la continuidad del negocio, demuestran cumplimiento con las regulaciones de privacidad de datos y mantienen intacta su reputación.
Las empresas deben proteger su información sensible ya sea que esté almacenada en servidores o compartida por correo electrónico u otro canal de comunicación. La seguridad de la capa de transporte (TLS) se ha convertido en una parte importante de la estrategia de seguridad de correo electrónico de cada organización mientras luchan por cumplir con regulaciones como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y el Reglamento General de Protección de Datos de la Unión Europea (GDPR).
Sin embargo, habilitar TLS no garantiza que tus correos electrónicos estén a salvo de miradas indiscretas. De hecho, muchas organizaciones todavía usan TLS incorrectamente, lo que deja sus correos electrónicos vulnerables a accesos no autorizados y filtraciones de datos.
¿Cómo Funciona TLS?
Para que un sitio web o aplicación use TLS, debe tener un certificado TLS instalado. Un certificado TLS se emite a la persona o empresa que posee un dominio. El certificado contiene información importante sobre quién posee el dominio y la clave pública del servidor, ambas importantes para validar la identidad del servidor.
Una conexión TLS se inicia utilizando una secuencia conocida como el apretón de manos TLS. Cada vez que alguien visita un sitio web que usa TLS, el apretón de manos TLS comienza entre el dispositivo del usuario (también conocido como el dispositivo cliente) y el servidor web.
Durante el apretón de manos TLS, el dispositivo del usuario y el servidor web:
- Especifican qué versión de TLS (TLS 1.0, 1.2, 1.3, etc.) usar,
- Deciden qué suites de cifrado usar,
- Autentican la identidad del servidor usando el certificado TLS del servidor, y
- Generan claves de sesión para cifrar mensajes entre el dispositivo del usuario y el servidor web después de completar el apretón de manos.
¿Qué es una Autoridad de Certificación (CA)?
Una autoridad de certificación (CA) es una organización que actúa para validar las identidades de entidades (por ejemplo, sitios web, direcciones de correo electrónico, empresas o individuos) y vincularlas a claves criptográficas mediante la emisión de documentos electrónicos conocidos como certificados digitales.
Un certificado digital proporciona lo siguiente:
- Autenticación—trabaja como una credencial para validar la identidad de la entidad a la que se ha emitido.
- Cifrado—para comunicación segura sobre redes inseguras.
- La integridad de los documentos firmados con el certificado para que un tercero en tránsito no pueda alterarlos.
¿Cuál es la Diferencia Entre TLS y SSL?
TLS evolucionó a partir de un protocolo de cifrado anterior llamado capa de conexión segura (SSL), desarrollado por Netscape. La versión 1.0 de TLS comenzó su desarrollo como la versión 3.1 de SSL, pero el nombre del protocolo se cambió antes de su publicación para indicar que ya no estaba asociado con Netscape. Como resultado, TLS y SSL a veces se usan indistintamente.
Vulnerabilidades Potenciales con TLS
Aunque TLS y SSL indudablemente forman una base vital para el enfoque de cualquier empresa hacia la seguridad de datos, todavía contienen vulnerabilidades.
La principal debilidad surge de la falta de comprensión de las empresas sobre el cifrado de correo electrónico, con muchas creyendo que el canal de transporte, y por lo tanto el correo electrónico, está completamente asegurado siempre que se use TLS.
Las empresas, sin embargo, deben recordar que los mensajes de correo electrónico viajan entre los servidores de correo del remitente y del destinatario, un canal que incluye saltos fuera de su red. Un correo electrónico solo está protegido hasta el siguiente salto de correo, y no hay posibilidad de controlar lo que sucede una vez que llega al siguiente salto del Protocolo Simple de Transferencia de Correo (SMTP).
Un mensaje confidencial, por lo tanto, podría ser expuesto dentro de la red de la empresa, ya que TLS no proporciona cifrado de extremo a extremo. TLS solo asegura el canal desde el dispositivo del remitente hasta el servidor de correo corporativo. Pero los correos electrónicos a menudo se transfieren a través de servidores adicionales donde el cifrado no puede garantizarse.
Por ejemplo, en el caso de la verificación de antivirus y el escaneo de contenido, los datos pueden ser expuestos a administradores curiosos u otros empleados en el camino.
Otro riesgo de seguridad reside en los certificados X.509 utilizados. Muchas empresas no validan sus certificados, dejando toda su información sensible expuesta.
Las empresas deben asegurarse de que los certificados hayan sido emitidos por una Autoridad de Certificación (CA) confiable y de buena reputación. Esto no es nada trivial, ya que muchas empresas firman sus propios certificados.
Las empresas también necesitan verificar si los certificados son válidos y si los algoritmos de cifrado y las longitudes de clave están actualizados (léase: de última generación).
Muchas empresas, especialmente aquellas que usan OpenSSL, crean sus propios certificados, ya que es conveniente y más rentable que los certificados de una CA adecuada. Sí, los certificados cuestan dinero. Deben comprarse y renovarse. Si las empresas olvidan renovar, el certificado eventualmente se revoca y las empresas deben pagar a la CA (nuevamente) por un nuevo certificado.
Las empresas también suelen desconocer que si usan una versión incorrecta de TLS que no implementa “secreto perfecto hacia adelante”, los mensajes pueden ser descifrados por usos no autorizados que descubran las claves.
Otra limitación conocida de TLS es la configuración del sistema “TLS opcional”. Con “TLS obligatorio”, el sistema de origen solo transferirá un mensaje de correo electrónico si el siguiente sistema en la cadena admite TLS; el mensaje no se transferirá si ese sistema no admite TLS. Sin embargo, si un sistema emplea “TLS opcional”, transferirá el mensaje de todos modos, dejando así el canal sin cifrar y el mensaje expuesto.
Aquí hay algunas razones adicionales por las que TLS puede ser insuficiente para asegurar tus comunicaciones por correo electrónico.
TLS defiende los correos electrónicos de algunos, pero no de todos, tipos de ataques
TLS por sí solo no es suficiente para la seguridad del correo electrónico, ya que solo protege contra algunas formas de ataques de correo electrónico. TLS es particularmente efectivo contra ataques de intermediario y de escucha, que ocurren mientras los datos están en tránsito. Si tienes información sensible almacenada en tus servidores o bases de datos, necesitas usar un protocolo de cifrado adicional como Pretty Good Privacy (PGP) o Secure/Multipurpose Internet Mail Extensions (S/MIME).
Estos protocolos de cifrado asegurarán que si un hacker obtiene acceso al servidor, no podrá leer los datos cifrados. Y debido a que estos protocolos no dependen de enviar texto plano por el cable, son menos susceptibles al análisis de tráfico y otros ataques de canal lateral que monitorean flujos de comunicación cifrados.
TLS puede ser vulnerable a ataques de degradación
TLS se utiliza típicamente para asegurar conexiones entre tu computadora y un servidor, como cuando inicias sesión en tu correo electrónico usando un navegador. Pero también puede usarse para otras conexiones, como enviar correos electrónicos de un servidor a otro.
El problema con este enfoque es que la conexión completa no está cifrada. Solo los datos entre los servidores de envío y recepción están cifrados, y esos servidores pueden no tener una seguridad fuerte. Un ataque de degradación podría interceptar el tráfico en un enlace no cifrado y leer los mensajes a medida que pasan. A menos que tengas cifrado de extremo a extremo, podrías estar poniendo en riesgo tus datos y tu organización.
TLS necesita un apretón de manos más fuerte
TLS es el protocolo de cifrado más comúnmente usado hoy en día, pero aún tiene limitaciones. Para asegurar que el correo electrónico de tu empresa esté seguro y cifrado desde el principio, usa STARTTLS con algoritmos de cifrado como PGP o S/MIME.
De esta manera, incluso si alguien intercepta tus correos electrónicos en tránsito, no podrá leerlos sin tu clave privada. También hace más difícil que ocurra un ataque de intermediario al tener una capa extra de cifrado sobre el apretón de manos TLS inicial.
Si tienes información confidencial que necesita ser transmitida de manera segura, considera agregar otra capa de protección cifrando tu correo electrónico a través de un proveedor de servicios externo.
Kiteworks para Seguridad y Cifrado de Extremo a Extremo
Kiteworks es más que un proveedor de correo electrónico seguro. Trabaja como una red de contenido privado (PCN) para gobernanza, cumplimiento y seguridad relacionados con el envío y recepción de contenido sensible dentro, a través y fuera de una organización.
Kiteworks proporciona cifrado de nivel empresarial y controles de seguridad uniformes a través de una puerta de enlace de cifrado de correo electrónico y un complemento de Microsoft Outlook, aplicación web, complemento de aplicación empresarial o aplicación móvil. También ofrece automatización de políticas basada en roles para asegurar la seguridad y el cumplimiento de la información más sensible de una organización.
Programa una demostración personalizada para aprender cómo Kiteworks automatiza el envío y recepción de correos electrónicos que contienen información confidencial, independientemente del estándar de cifrado utilizado.