Pequeña sesión sobre privacidad y seguridad en el email
2025-04-20
#seguridad #privacidad #email
Este es el guión aproximado que seguiré para una pequeña sesión sobre seguridad y privacidad en el email que haré a unos vecinos. Podéis poneros en contacto conmigo si véis algún error o queréis sugerirme algún cambio. Gracias.
El email NO es un protocolo seguro ni privado
El proveedor del servicio de email tiene acceso al contenido de nuestros emails y lo usa para rastrearnos, perfilarnos y enviarnos publicidad dirigida.
Referencias:
Google revisa correos para publicidad
Implicaciones legales de la cancelación de tu cuenta de gmail
Autenticación del remitente
Falsificar el campo "From" es fácil si creas tu propio servidor de email. Para identificar el remitente real, hay que analizar el encabezado del email y buscar la última línea con "Received".
En Gmail, usar "Ver original" para comprobar la última línea "Received" y las verificaciones SPF, DKIM y DMARC:
- SPF (Sender Policy Framework): autoriza servidores para enviar correos en nombre de un dominio.
- DKIM (DomainKeys Identified Mail): firma digital que asegura que el correo no fue alterado y proviene de un servidor autorizado.
- DMARC (Domain-based Message Authentication, Reporting and Conformance): indica a servidores receptores cómo tratar correos que no superan SPF y DKIM, y envía informes al propietario del dominio.
Aunque el remitente queda claramente autenticado por los sistemas anteriores hay que ser cautelosos con el nombre del dominio de procedencia puesto que te pueden enviar un email que cumpla todos esos requisitos pero desde un dominio falso que imite a un banco u otro servicio, por ejemplo si te envían un email desde el dominio clientesbbva.com, es un dominio que no existe, deberemos consultar el nombre del dominio y su certificado.
Rastreo en el email
Las tiendas online usan enlaces y elementos personalizados para rastrear el interés del usuario.
Métodos comunes:
1. Rastreo con píxeles: imagen diminuta invisible que notifica al emisor cuando se abre el correo.
2. Carga de estilos CSS remotos para detectar apertura.
3. Enlaces personalizados con identificadores únicos, muy habituales en emails de tiendas.
También existen recibos de lectura que requieren cooperación del destinatario, pero no son fiables.
Protección de tu email
Para evitar robos y spam:
- Activa autenticación de dos factores (2FA/MFA):
- SMS (menos seguro)
- Aplicaciones generadoras de códigos OTP, como Aegis Authenticator
- Aegis permite copias cifradas automáticas de la base de datos de códigos cada vez que cambiamos o añadimos un nuevo servicio, vale la pena activarlas y también sincronizar con Syncthing en varios dispositivos.
- Usa servicios de alias como Addy.io para:
- Crear un alias para cada tienda o servicio.
- Detectar fugas de datos, si empiezas a recibir emails de otro remitente desde un alias dedicado a otro servicio.
- Limitar el spam deshabilitando alias que no necesites.
- Cifrar emails desde el alias hacia tu bandeja de entrada, así puedes usar servicios de email no confiables.
Ataques habituales por email
- Ransomware mediante enlaces o archivos adjuntos, que cifran los archivos del usuario y exigen rescates en criptomonedas. Estos ataques pueden causar graves daños e incluso llevar al cierre de empresas. No hay una protección infalible frente al ransomware, lo mejor es estar concienciado de que lo puedes sufrir y adoptar una política adecuada de copias de seguridad y de recuperación del sistema a un punto previo al ataque, pasar virustotal a todos los archivos descargados y deshabilitar javascript en el navegador para evitar ser infectados por un ransomware a partir de un link en el email.
- Phishing con mensajes urgentes o solicitudes de datos.
- Spear phishing, es phishing dirigido, actualmente acentuado por la IA y el análisis de los datos que publicamos en redes sociales, son ataques muy contextualizados en los que es más fácil caer.
- Técnicas de ocultación de malware en nombres de archivos, como el carácter RLO (Right-to-Left Override), ejemplo:
archivo malicioso real: resumen_2015.gpj.exe archivo que ve la víctima: resumen_2015.exe.jpg
- Uso de espacios en blanco para ocultar archivos ejecutables de malware, ejemplo:
archivo malicioso real: foto.jpg.exe archivo que ve la víctima con caracteres invisibles: foto.jpg .exe
Para evitar esto es importante deshabilitar la ocultación de las extensiones de archivo en el SO.
Cómo identificar emails dañinos y suplantación de remitente
- Desconfía de remitentes desconocidos y correos que piden datos personales o bancarios.
- No confiar solo en el nombre visible, verifica el dominio.
- Usa VirusTotal para analizar urls y archivos adjuntos.
- No descargues ni ejecutes archivos con extensiones sospechosas (.exe, .com, .cpl, .cmd, .js, .msi, .vbe, etc.).
- Extrema la precaución con los archivos .pdf, pueden parecer inofensivos pero pueden contener un script malicioso embebido u ocultar documentos ofimáticos con macros maliciosas.
- Nunca habilites macros en documentos ofimáticos aunque provengan de fuentes confiables.
Algunas recomendaciones generales en el uso del email, de menor a mayor dificultad
- Usa contraseñas robustas y activa MFA.
- No guardes contraseñas en el navegador; usa un gestor de contraseñas como KeepassXC.
- Analiza archivos descargados y links con VirusTotal.
- No hagas clic en enlaces sospechosos.
- Deshabilita la interpretación de html y la carga automática de imágenes en tu cliente de email para evitar el rastreo.
- Usa un alias para cada servicio o tienda para detectar brechas de datos y controlar el spam.
- Deshabilita alias cuando ya no los uses.
- Aprende a cifrar emails con GPG para controlar el cifrado de extremo a extremo; Thunderbird es un cliente recomendado.
Proveedores de email recomendados
Deben ser de código abierto, auditados, con cifrado E2EE, deben permitir el envío de emails cifrados a otros servidores de email y tener políticas transparentes ante requerimientos judiciales.
protonmail transparency report
This work by SL1200 is licensed under CC BY-NC-SA 4.0
Source