Por qué no se puede proteger el correo electrónico de la vigilancia gubernamental

"Si supieras lo que sé sobre el correo electrónico, es posible que tampoco lo uses", dijo el propietario del servicio de correo electrónico seguro Lavabit, ya que recientemente lo cerró. No hay forma de hacer un correo electrónico encriptado donde el contenido esté protegido, dijo Phil Zimmermann mientras cerraba repentinamente el servicio de correo electrónico seguro de Silent Circle.

"Si supieras lo que sé sobre el correo electrónico, es posible que tampoco lo uses", dijo el propietario del servicio de correo electrónico seguro Lavabit, ya que recientemente lo cerró.  No hay forma de hacer un correo electrónico encriptado donde el contenido esté protegido, dijo Phil Zimmermann mientras cerraba repentinamente el servicio de correo electrónico seguro de Silent Circle.
Anuncio

"Si supieras lo que sé sobre el correo electrónico, es posible que tampoco lo uses", dijo el propietario del servicio de correo electrónico seguro Lavabit, ya que recientemente lo cerró. "No hay forma de hacer un correo electrónico encriptado donde el contenido está protegido", dijo Phil Zimmermann mientras cerraba repentinamente el servicio de correo electrónico seguro de Silent Circle. La realidad es que el correo electrónico es fundamentalmente inseguro y nunca puede ser protegido de la vigilancia gubernamental de la misma manera que otras comunicaciones.

Claro, es posible que esté utilizando un servicio de correo electrónico cifrado y "seguro" diferente que aún no se ha cerrado. Pero son vulnerables a la misma presión del gobierno de los EE. UU. Que Lavabit enfrentó, es por eso que Silent Circle cerró antes de ser contactado por el gobierno. Algunos servicios con menos principios optarán por cooperar con los gobiernos en lugar de cerrar. No sabemos exactamente a qué se enfrenta Lavabit, ya que tienen prohibido revelar todo lo que experimentaron como resultado de órdenes clandestinas del tribunal secreto de vigilancia de los EE. UU. Que habilita PRISM y otros programas de vigilancia de la NSA ¿Qué es PRISM? Todo lo que necesita saber ¿Qué es PRISM? Todo lo que necesita saber La Agencia de Seguridad Nacional de los EE. UU. Tiene acceso a cualquier información que almacene con proveedores de servicios de los EE. UU. Como Google Microsoft, Yahoo y Facebook. También es probable que monitoreen la mayor parte del tráfico que fluye a través de ... Leer más.

Ahora, veamos por qué el correo electrónico es una opción pobre para las comunicaciones seguras, y cómo es un objetivo fácil para el espionaje del gobierno.

Los metadatos no se pueden cifrar y XKEYSCORE puede interceptarlo

Un correo electrónico no es realmente una sola pieza de datos. Son varios datos: el cuerpo del mensaje, el asunto, el campo De, los campos A / CC / CCO y otros metadatos que incluyen la ubicación desde la que se envía el correo electrónico.

Incluso si usa la mejor tecnología de cifrado de correo electrónico posible, solo puede cifrar el cuerpo del mensaje del correo electrónico. Cualquiera que controle la conexión que está utilizando puede ver el asunto del correo electrónico, con quién se está comunicando y de dónde está enviando un correo electrónico. Bajo el programa XKEYSCORE que esencialmente permite que el gobierno de EE. UU. Capture la mayor parte del tráfico que fluye a través de Internet al interceptarlo en los enrutadores y enrutadores troncales grandes, el gobierno puede construir una buena imagen de con quién se está comunicando, cuando está comunicarse con ellos, de dónde se comunican y cuáles son las líneas de asunto de sus correos electrónicos, lo que les da una idea de lo que está hablando. Pueden encontrar el hecho de que está encriptando los contenidos de sus correos electrónicos sospechosos y lo dirigen a usted para una vigilancia más profunda y profunda de todo lo demás que hace.

El gobierno de EE. UU. Recopiló registros de correo electrónico de EE. UU. A granel hasta 2011. Según la NSA, este programa se suspendió porque no fue efectivo, pero aún recopilan metadatos en XKEYSCORE, por lo que es probable que intercepten todos los metadatos de correo electrónico que puedan tener en sus manos. Obtendrán mucha información de usted incluso si encripta sus correos electrónicos.

Para obtener más información, lea sobre las cosas que puede aprender del "encabezado" o metadatos de un correo electrónico ¿Qué puede aprender de un encabezado de correo electrónico (metadatos)? ¿Qué se puede aprender de un encabezado de correo electrónico (metadatos)? ¿Alguna vez recibió un correo electrónico y realmente se preguntó de dónde vino? ¿Quien lo envió? ¿Cómo pudieron saber quién eres? Sorprendentemente, mucha de esa información puede ser desde ... Leer más.

xkeyscore-metadata-slide

Muchos proveedores de correo electrónico "seguros" tienen las claves de cifrado para mayor comodidad

Encriptar y descifrar correos electrónicos es complicado. En teoría, usaría algo como PGP o GPG en su computadora local para descifrar correos electrónicos. Cómo enviar correos electrónicos firmados y encriptados con Evolution [Linux] Cómo enviar correos electrónicos firmados y encriptados con Evolution [Linux] En el mundo tecnológico actual, enviando encriptados los mensajes entre las personas se han convertido en un estándar creciente. Para proteger sus comunicaciones por correo electrónico, debe firmar y / o encriptar sus correos electrónicos. En Linux, este es un fácil ... Leer más. En la práctica, la configuración puede ser complicada y confusa, incluso para usuarios más conocedores de la tecnología. Esto también hace que sea imposible acceder a los correos electrónicos encriptados a través de un navegador o un cliente móvil liviano.

En la práctica, muchos proveedores de correo electrónico seguros se han ocupado de esto manteniendo las claves de cifrado en su extremo, descifrando los correos electrónicos cuando se accede a ellos. Así es como funcionaba el servicio de correo electrónico seguro de Silent Circle: tenían las claves de cifrado para poder descifrar fácilmente los correos electrónicos y ofrecer una buena experiencia de usuario. En la práctica, esto significa que el gobierno podría exigir todas las claves de cifrado, o solo las que necesitaban, y descifrar todos los correos electrónicos que quisieran. Si el proveedor tiene las llaves, podrían entregarlas. La única manera de cifrar y descifrar de forma segura los cuerpos de correo electrónico es con un software de escritorio complicado. Incluso todo este esfuerzo deja los metadatos expuestos.

El gobierno puede exigir puertas traseras: ver Hushmail

Hushmail, con sede en Canadá, es uno de los servicios de correo electrónico cifrados más populares y ampliamente conocidos. En 2007, los tribunales canadienses obligaron a Hushmail a entregar los correos electrónicos de uno de sus usuarios. Los correos electrónicos se transmitieron a los tribunales de los Estados Unidos en virtud de un tratado de asistencia judicial recíproca entre Canadá y los Estados Unidos.

Hushmail teóricamente no podría hacer esto. No conservaron las claves de cifrado de los usuarios en sus servidores. Recomendaron a los usuarios usar PGP o un software similar para descifrar los correos electrónicos en sus computadoras para una máxima privacidad. Sin embargo, muchas personas pensaron que esto era demasiado inconveniente, por lo que Hushmail también ofreció un applet Java descargable ubicado en una página web que le permitía acceder a su correo electrónico. Cuando accedía a la página web, la última versión del applet de Java se descargaba en su computadora, ingresaba su clave de cifrado y el applet se descargaba y descifraba localmente su correo electrónico sin que Hushmail obtuviera acceso a su clave de cifrado.

Hushmail se vio obligado a servir una versión de Java ¿Es Java inseguro y debería desactivarlo? ¿Es Java inseguro y debería desactivarlo? El complemento Java de Oracle se ha vuelto cada vez menos común en la Web, pero se ha vuelto más y más común en las noticias. Ya sea que Java permita que más de 600, 000 Macs se infecten o Oracle es ... Leer más applet con una puerta trasera incorporada para el usuario en cuestión. El applet Java modificado envió la clave de cifrado del usuario a Hushmail después de que se ingresó y Hushmail obtuvo acceso a los correos electrónicos del usuario, que entregaron a los tribunales.

Si utiliza un correo electrónico seguro, el proveedor puede verse obligado a adquirir su clave de cualquier manera posible. Incluso si no pudieran obtener acceso a su clave, el proveedor podría entregar sus correos electrónicos encriptados, lo que mostraría al gobierno con quién se está comunicando, cuándo y sobre qué (a través del asunto del correo electrónico).

hushmail-legal-warning

Los mensajes de correo electrónico se almacenan en un servidor, los mensajes instantáneos no son almacenados

Incluso si el gobierno no puede obtener o interceptar la clave de cifrado, es posible que pueda descifrar sus correos electrónicos de todos modos. Sus mensajes de correo electrónico cifrados se almacenan en un servidor; así es como funciona el correo electrónico. Si el gobierno exigiera estos datos, el proveedor de alojamiento tendría que entregarlos en forma encriptada. El gobierno podría entonces tratar de romper el cifrado: el nuevo hardware hace que los mecanismos actuales de cifrado sean mucho más débiles y el gobierno de EE. UU. Puede almacenar tales comunicaciones encriptadas con la esperanza de romperlas en el futuro.

Por el contrario, las comunicaciones de estilo de mensaje instantáneo son más difíciles de archivar. Un mensaje cifrado puede enviarse directamente al destinatario y no almacenarse en un servidor al que se pueda acceder en el futuro. El gobierno tendría que instalar un dispositivo de monitoreo y capturar todas las comunicaciones en tiempo real. Si no lo hicieron y no tenían todos los datos cifrados, no podrían obtenerlo años después, pero a menudo pueden hacerlo con el correo electrónico.

Otros tipos de comunicación se pueden asegurar

El correo electrónico simplemente no fue diseñado con encriptación en mente. Se ha atornillado después de los hechos, y se nota. Incluso los usuarios más cuidadosos de los servicios de correo electrónico seguros no pueden ocultar con quién se están comunicando ni cuándo. Si realmente desea evitar la vigilancia del gobierno, es mejor que utilice diferentes servicios de mensajería segura en lugar de depender del correo electrónico.

Es por eso que Silent Circle aún ofrece un servicio de mensajería seguro. 3 maneras de hacer que las comunicaciones de su teléfono inteligente sean más seguras. 3 maneras de hacer que las comunicaciones de su teléfono inteligente sean más seguras. ¡Total privacidad! O eso pensamos, mientras nuestras palabras e información volaban por los aires. No es así: primero es la palabra de las escuchas sin orden judicial, entonces es la palabra de los periódicos, abogados, aseguradoras y más hackear su ... Leer más que confían en la seguridad de. Tampoco es la única opción: Cryptocat es otro. Cryptocat tuvo una vulnerabilidad recientemente publicada y otros servicios pueden tener sus propios problemas de los que escucharemos en el futuro, pero estos servicios están en el camino correcto: no son fundamentalmente inseguros por diseño, como lo es el correo electrónico.

Por supuesto, el correo electrónico cifrado no es necesariamente inútil. Por ejemplo, si desea proteger las comunicaciones comerciales importantes contra el espionaje, puede ser útil. Pero el correo electrónico encriptado no va a ralentizar demasiado al gobierno; no es la herramienta de comunicación ideal cuando intentas hablar sin la audiencia de la NSA.

cifra tus datos

¿Estás de acuerdo con los principios detrás del cierre de Lavabit y Silent Circle? ¿Utiliza un servicio de mensajería segura para comunicarse sin que sus conversaciones se almacenen en una base de datos gubernamental masiva? Deje un comentario y díganos qué alternativa de correo electrónico prefiere.

Créditos de las imágenes: detector de metales Via Shutterstock

In this article