Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

¿Por qué TLS Puede No Ser Suficiente para Tu Estrategia de Cifrado de Correo Electrónico?

Inicio Glosario Por Qué TLS Puede No Ser Suficiente para Tu Estrategia de Cifrado de Correo Electrónico

La era digital ha revolucionado cómo vivimos nuestras vidas y cómo operan las empresas. Hoy en día, las empresas disfrutan de un mayor compromiso con sus clientes. Estas compañías también tienen a su disposición muchos más datos para comprender mejor su negocio y la actividad de compra de sus clientes. Estos datos permiten a las empresas cerrar brechas de eficiencia, identificar oportunidades de crecimiento y servir mejor a sus clientes.

Estos datos, como era de esperar, son increíblemente valiosos. Protegerlos se ha vuelto crítico para la supervivencia de una empresa en un mercado muy competitivo. Cuando las organizaciones protegen su información personal identificable (PII), información de salud protegida (PHI), propiedad intelectual (IP) u otra información confidencial, aseguran la continuidad del negocio, demuestran cumplimiento con las regulaciones de privacidad de datos y mantienen intacta su reputación.

Las empresas deben proteger su información sensible ya sea que esté almacenada en servidores o compartida por correo electrónico u otro canal de comunicación. La seguridad de la capa de transporte (TLS) se ha convertido en una parte importante de la estrategia de seguridad de correo electrónico de cada organización mientras luchan por cumplir con regulaciones como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y el Reglamento General de Protección de Datos de la Unión Europea (GDPR).

Qué es TLS Seguridad de la Capa de Transporte

Sin embargo, habilitar TLS no garantiza que tus correos electrónicos estén a salvo de miradas indiscretas. De hecho, muchas organizaciones todavía usan TLS incorrectamente, lo que deja sus correos electrónicos vulnerables a accesos no autorizados y filtraciones de datos.

¿Cómo Funciona TLS?

Para que un sitio web o aplicación use TLS, debe tener un certificado TLS instalado. Un certificado TLS se emite a la persona o empresa que posee un dominio. El certificado contiene información importante sobre quién posee el dominio y la clave pública del servidor, ambas importantes para validar la identidad del servidor.

Una conexión TLS se inicia usando una secuencia conocida como el apretón de manos TLS. Cada vez que alguien visita un sitio web que usa TLS, el apretón de manos TLS comienza entre el dispositivo del usuario (también conocido como el dispositivo cliente) y el servidor web.

Durante el apretón de manos TLS, el dispositivo del usuario y el servidor web:

  • Especifican qué versión de TLS (TLS 1.0, 1.2, 1.3, etc.) usar,
  • Deciden qué suites de cifrado usar,
  • Autentican la identidad del servidor usando el certificado TLS del servidor, y
  • Generan claves de sesión para cifrar mensajes entre el dispositivo del usuario y el servidor web después de completar el apretón de manos.

¿Qué es una Autoridad de Certificación (CA)?

Una autoridad de certificación (CA) es una organización que actúa para validar las identidades de entidades (por ejemplo, sitios web, direcciones de correo electrónico, empresas o individuos) y vincularlas a claves criptográficas emitiendo documentos electrónicos conocidos como certificados digitales.

Un certificado digital proporciona lo siguiente:

  • Autenticación—sirve como credencial para validar la identidad de la entidad a la que se ha emitido
  • Cifrado—para comunicación segura sobre redes inseguras
  • La integridad de los documentos firmados con el certificado para que un tercero en tránsito no pueda alterarlos

¿Cuál es la Diferencia Entre TLS y SSL?

TLS evolucionó a partir de un protocolo de cifrado anterior llamado capa de conexión segura (SSL), desarrollado por Netscape. La versión 1.0 de TLS comenzó su desarrollo como la versión 3.1 de SSL, pero el nombre del protocolo se cambió antes de la publicación para indicar que ya no estaba asociado con Netscape. Como resultado, TLS y SSL a veces se usan indistintamente.

Vulnerabilidades Potenciales con TLS

Aunque TLS y SSL indudablemente forman una base vital para el enfoque de seguridad de datos de cualquier empresa, todavía contienen vulnerabilidades.

La principal debilidad surge de la falta de comprensión de las empresas sobre el cifrado de correo electrónico, con muchas creyendo que el canal de transporte, y por lo tanto el correo electrónico, está completamente asegurado siempre que se use TLS.

Sin embargo, las empresas deben recordar que los mensajes de correo electrónico viajan entre los servidores de correo del remitente y del destinatario, un canal que incluye saltos fuera de sus respectivas redes. Un correo electrónico solo está protegido hasta el siguiente salto de correo, y no hay posibilidad de controlar lo que sucede una vez que llega al siguiente salto de Protocolo Simple de Transferencia de Correo (SMTP).

Un mensaje confidencial, por lo tanto, podría ser expuesto dentro de la red de la empresa, ya que TLS no proporciona cifrado de extremo a extremo. TLS solo asegura el canal desde el dispositivo del remitente hasta el servidor de correo corporativo. Pero los correos electrónicos a menudo se transfieren a través de servidores adicionales donde el cifrado no puede garantizarse.

Por ejemplo, en el caso de la verificación de antivirus y el escaneo de contenido, los datos pueden ser expuestos a administradores curiosos u otros empleados en el camino.

Otro riesgo de seguridad radica en los certificados X.509 utilizados. Muchas empresas no validan sus certificados, dejando expuestos todos sus datos sensibles.

Las empresas deben asegurarse de que los certificados hayan sido emitidos por una autoridad de certificación (CA) confiable y de buena reputación. Esto no es trivial, ya que muchas empresas firman sus propios certificados.

Las empresas también necesitan verificar si los certificados son válidos y si los algoritmos de cifrado y las longitudes de clave están actualizados (léase: de última generación).

Muchas empresas, especialmente aquellas que usan OpenSSL, crean sus propios certificados, ya que es conveniente y más rentable que los certificados de una CA adecuada. Sí, los certificados cuestan dinero. Deben comprarse y renovarse. Si las empresas olvidan renovar, el certificado eventualmente se revoca y las empresas deben pagar a la CA (nuevamente) por un nuevo certificado.

Las empresas también suelen desconocer que si usan una versión incorrecta de TLS que no implementa “secreto perfecto hacia adelante”, los mensajes pueden ser descifrados por usos no autorizados que descubran las claves.

Otra limitación conocida de TLS es la configuración del sistema “TLS opcional”. Con “TLS obligatorio”, el sistema de origen solo transferirá un mensaje de correo electrónico si el siguiente sistema en la cadena admite TLS; el mensaje no se transferirá si ese sistema no admite TLS. Sin embargo, si un sistema emplea “TLS opcional”, transferirá el mensaje de todos modos, dejando así el canal sin cifrar y el mensaje expuesto.

Aquí hay algunas razones adicionales por las que TLS puede ser insuficiente para asegurar tus comunicaciones por correo electrónico.

TLS defiende correos electrónicos de algunos, pero no de todos, tipos de ataques

TLS por sí solo no es suficiente para la seguridad del correo electrónico, ya que solo protege contra algunas formas de ataques de correo electrónico. TLS es particularmente efectivo contra ataques de intermediario y de escucha, que ocurren mientras los datos están en tránsito. Si tienes información sensible almacenada en tus servidores o bases de datos, necesitas usar un protocolo de cifrado adicional como Pretty Good Privacy (PGP) o Extensiones de Correo de Internet Seguras/Multipropósito (S/MIME).

Estos protocolos de cifrado asegurarán que si un hacker obtiene acceso al servidor, no podrá leer los datos cifrados. Y debido a que estos protocolos no dependen de enviar texto plano por el cable, son menos susceptibles al análisis de tráfico y otros ataques de canal lateral que monitorean flujos de comunicación cifrados.

TLS puede ser vulnerable a ataques de degradación

TLS se utiliza típicamente para asegurar conexiones entre tu computadora y un servidor, como cuando inicias sesión en tu correo electrónico usando un navegador. Pero también puede usarse para otras conexiones, como enviar correos electrónicos de un servidor a otro.

El problema con este enfoque es que toda la conexión no está cifrada. Solo los datos entre los servidores de envío y recepción están cifrados, y esos servidores pueden no tener una seguridad fuerte. Un ataque de degradación podría interceptar el tráfico en un enlace no cifrado y leer los mensajes a medida que pasan. A menos que tengas cifrado de extremo a extremo, podrías estar poniendo en riesgo tus datos y tu organización.

TLS necesita un apretón de manos más fuerte

TLS es el protocolo de cifrado más comúnmente usado hoy en día, pero aún tiene limitaciones. Para asegurar que el correo electrónico de tu empresa esté seguro y cifrado desde el principio, usa STARTTLS con algoritmos de cifrado como PGP o S/MIME.

De esta manera, incluso si alguien intercepta tus correos electrónicos en tránsito, no podrá leerlos sin tu clave privada. También hace más difícil que ocurra un ataque de intermediario al tener una capa adicional de cifrado sobre el apretón de manos TLS inicial.

Si tienes información confidencial que necesita ser transmitida de manera segura, considera agregar otra capa de protección cifrando tu correo electrónico a través de un proveedor de servicios de terceros.

Kiteworks para Seguridad y Cifrado de Extremo a Extremo

Kiteworks es más que un proveedor de correo electrónico seguro. Trabaja como una red de contenido privado (PCN) para gobernanza, cumplimiento y seguridad relacionados con el envío y recepción de contenido sensible dentro, a través y fuera de una organización.

Kiteworks proporciona cifrado de nivel empresarial y controles de seguridad uniformes a través de una puerta de enlace de cifrado de correo electrónico y un complemento de Microsoft Outlook, aplicación web, complemento de aplicación empresarial o aplicación móvil. También ofrece automatización de políticas basada en roles para asegurar la seguridad y el cumplimiento de la información más sensible de una organización.

Programa una demostración personalizada para aprender cómo Kiteworks automatiza el envío y recepción de correos electrónicos que contienen información confidencial, independientemente del estándar de cifrado utilizado.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks