Preguntas frecuentes sobre la encriptación de correos electrónicos

La encriptación durante el envío ayuda a evitar que se espíe el correo electrónico hasta que llega a sus destinatarios. Lamentablemente, miles de millones de correos electrónicos sin encriptar se envían y reciben a diario sin protección y constituyen un blanco fácil para el espionaje y la intercepción masiva, ya que atraviesan decenas de fibras y routers ópticos.

La seguridad es un desafío permanente para el que no hay una solución perfecta y cuyo progreso es gradual. La encriptación en tránsito hace que sea más difícil espiar el correo electrónico y la encriptación universal del correo en tránsito sería un gran avance para la seguridad y la privacidad en línea. Pero la encriptación no puede impedir por completo que otros espíen el correo electrónico. Además, el correo electrónico no solo es vulnerable en tránsito, sino también después de entregado. Por ejemplo, personas no autorizadas podrían acceder a su correo electrónico si instalan software malicioso en la computadora que utilice para leerlo.

La encriptación de un correo electrónico durante el envío lo protege contra la lectura por parte de aquellos que pueden acceder a las redes que atraviesa desde que el remitente lo envía y el destinatario lo recibe. Imagine que un sobre de seguridad temporario preserva el correo electrónico para mantenerlo en privado mientras se envía a los destinatarios. El TLS (seguridad de la capa de transporte) es el protocolo estándar que permite la encriptación del correo electrónico durante el envío.

Sin embargo, el protocolo TLS no encripta los datos en reposo; es decir, no encripta el correo electrónico mientras se encuentra almacenado en un servidor. Estos datos se pueden encriptar, entre otras maneras, con el programa PGP (consulte la información que aparece a continuación).

Ninguna solución de seguridad de Internet es perfecta, pero los correos electrónicos sin encriptar se pueden vulnerar fácilmente. La encriptación del correo electrónico mientras se traslada de un proveedor de correo electrónico a otro constituye una gran mejora que se puede implementar con bastante facilidad sin que los usuarios sufran ningún inconveniente.  Puede encontrar más información sobre el estado del TLS para el correo electrónico, incluidas sus fallas, en esta entrada de blog detallada de Facebook.

Sí.  Esto incluye Gmail y Google Workspace.  Es por eso que este informe se concentra en los envíos de correo electrónico en los que Google es solo uno de los proveedores involucrados.

Desde 2010, HTTPS es el protocolo predeterminado cuando usted accede a Gmail. Por consiguiente, el correo electrónico se encripta y queda protegido mientras se traslada desde los centros de datos de Google hasta la computadora que usa para leerlo. Este informe es acerca de otra cuestión: la protección que ofrece el protocolo TLS cuando el correo electrónico abandona los centros de datos Google rumbo al servidor de correo electrónico externo del destinatario.

Activamos el protocolo HTTPS para Gmail por cuenta propia, pero, cuando el correo electrónico se envía de un proveedor a otro, ambos tienen que admitir el protocolo TLS para que el correo electrónico se encripte durante el envío.

El programa PGP encripta el contenido del correo electrónico de manera que, si sigue correctamente los procedimientos, nadie más que usted y el destinatario puedan verlo. Cuando un usuario de Gmail recibe un correo electrónico encriptado a través del programa PGP, por ejemplo, Gmail no puede indexar el contenido para búsquedas posteriores porque no puede verlo. La seguridad adicional que se obtiene a cambio es conveniente en particular para las personas que se encuentran en riesgo y no es proporcionada por la encriptación durante el envío.

Sin embargo, en lo que a seguridad respecta, el programa PGP se ve beneficiado considerablemente por la encriptación durante el envío. El programa PGP encripta solo el contenido del correo electrónico y no encripta los encabezados (p. ej., los remitentes y los destinatarios). Una persona que accede "por casualidad" a un correo electrónico encriptado a través del programa PGP podrá ver la dirección del destinatario del mensaje, pero no el contenido. Sin embargo, si un mensaje se encripta tanto a través del programa PGP como a través del protocolo TLS durante el envío, un potencial espía no podrá ver al remitente ni al destinatario.

De forma predeterminada, los correos electrónicos han recorrido Internet durante décadas sin estar encriptados, como si su contenido estuviera escrito en una postal. Gmail puede encriptar tanto el correo electrónico que se envía como el que se recibe, pero solo cuando el otro proveedor de correo electrónico admite la encriptación por el protocolo TLS.

En otras palabras, la encriptación total de los correos electrónicos en Internet requiere de la cooperación de todos los proveedores de correo electrónico en línea.

Tomamos en consideración los destinatarios de los mensajes, no las conexiones del protocolo para la transferencia simple de correo electrónico (SMTP).  No tomamos en consideración los correos electrónicos que nuestros sistemas marcan como spam.  No tomamos en consideración los mensajes entrantes de los hosts cuyo sistema de nombres de dominio (DNS) inverso o reverso es inconsistente o que no disponen de uno.  Esto permite garantizar la atribución correcta de los mensajes entrantes, ya que el remitente de un mensaje puede indicar la dirección que desea en el campo "De".

"De: gmail.com mediante google.com" hace referencia a todos los mensajes con nombres de remitentes que terminen en @gmail.com o un subdominio, es decir, los mensajes se envían desde un host en el dominio google.com o un subdominio. Cuando el dominio "mediante" es el mismo, se suprime.

Los puntos suspensivos, como en "google.{…}", indican que varios dominios, como google.com y google.co.uk, se tomaron en consideración de manera conjunta. Intentamos hacer esto solo cuando creemos que los hosts con nombres similares procesan los correos electrónicos de la misma manera, lo que no ocurre siempre.