Pequeña sesión sobre privacidad y seguridad en el email

2025-04-20

#seguridad #privacidad #email

Este es el guión aproximado que seguiré para una pequeña sesión sobre seguridad y privacidad en el email que haré a unos vecinos. Podéis poneros en contacto conmigo si véis algún error o queréis sugerirme algún cambio. Gracias.

El email NO es un protocolo seguro ni privado

El proveedor del servicio de email tiene acceso al contenido de nuestros emails y lo usa para rastrearnos, perfilarnos y enviarnos publicidad dirigida.

Referencias:

Esquema SMTP

Caso real Google

Google revisa correos para publicidad

Implicaciones legales de la cancelación de tu cuenta de gmail

Autenticación del remitente

Falsificar el campo "From" es fácil si creas tu propio servidor de email. Para identificar el remitente real, hay que analizar el encabezado del email y buscar la última línea con "Received".

En Gmail, usar "Ver original" para comprobar la última línea "Received" y las verificaciones SPF, DKIM y DMARC:




Aunque el remitente queda claramente autenticado por los sistemas anteriores hay que ser cautelosos con el nombre del dominio de procedencia puesto que te pueden enviar un email que cumpla todos esos requisitos pero desde un dominio falso que imite a un banco u otro servicio, por ejemplo si te envían un email desde el dominio clientesbbva.com, es un dominio que no existe, deberemos consultar el nombre del dominio y su certificado.

Rastreo en el email

Las tiendas online usan enlaces y elementos personalizados para rastrear el interés del usuario.

Métodos comunes:

1. Rastreo con píxeles: imagen diminuta invisible que notifica al emisor cuando se abre el correo.

2. Carga de estilos CSS remotos para detectar apertura.

3. Enlaces personalizados con identificadores únicos, muy habituales en emails de tiendas.

También existen recibos de lectura que requieren cooperación del destinatario, pero no son fiables.

Protección de tu email

Para evitar robos y spam:


- SMS (menos seguro)

- Aplicaciones generadoras de códigos OTP, como Aegis Authenticator

Aegis Authenticator

- Aegis permite copias cifradas automáticas de la base de datos de códigos cada vez que cambiamos o añadimos un nuevo servicio, vale la pena activarlas y también sincronizar con Syncthing en varios dispositivos.

Syncthing


Addy.io

- Crear un alias para cada tienda o servicio.

- Detectar fugas de datos, si empiezas a recibir emails de otro remitente desde un alias dedicado a otro servicio.

- Limitar el spam deshabilitando alias que no necesites.

- Cifrar emails desde el alias hacia tu bandeja de entrada, así puedes usar servicios de email no confiables.

Ataques habituales por email





archivo malicioso real:    resumen_2015.gpj.exe
archivo que ve la víctima: resumen_2015.exe.jpg  

archivo malicioso real:                              foto.jpg.exe
archivo que ve la víctima con caracteres invisibles: foto.jpg          .exe

Para evitar esto es importante deshabilitar la ocultación de las extensiones de archivo en el SO.

Cómo identificar emails dañinos y suplantación de remitente







Algunas recomendaciones generales en el uso del email, de menor a mayor dificultad









Proveedores de email recomendados

Deben ser de código abierto, auditados, con cifrado E2EE, deben permitir el envío de emails cifrados a otros servidores de email y tener políticas transparentes ante requerimientos judiciales.

ProtonMail

Tutanota

protonmail transparency report

tuta transparency report

This work by SL1200 is licensed under CC BY-NC-SA 4.0

◄ BACK

🏠 Home


Source