Cómo enviar correos electrónicos privados

¿Cómo enviar correos electrónicos privados y cifrados?

El correo electrónico no es privado ni seguro.
No se diseñó teniendo en cuenta la privacidad ni la seguridad.

Cualquiera que tenga acceso a tu correo electrónico mientras está en tránsito puede leerlo,
incluido tu proveedor de servicios de Internet, un pirata informático o la NSA (Agencia de Seguridad Nacional de EE. UU.).

Resumen:

¿Qué está pasando hoy?

los organismos de vigilancia leen los correos electrónicos

«El valor de cualquier dato solo se conoce cuando se puede relacionar
con otra información que llega en un momento posterior.
Dado que no se pueden unir puntos que no se tienen, esto nos lleva a una situación en la que,
fundamentalmente intentamos recopilarlo todo y conservarlo para siempre».

«Han dicho que solo son metadatos, que solo son metadatos, […]
con quién hablas, cuándo hablas con ellos, adónde has viajado.
Todo eso son datos de metadatos.
PRISM se centra en el contenido. […] Todos pueden verlo porque no está cifrado».

Existen docenas de estudios psicológicos que demuestran
que, cuando alguien sabe que puede estar siendo observado,
su comportamiento se vuelve mucho más conformista y dócil.
[…] la vigilancia masiva crea una prisión en la mente […]

en el lado «ilegal»

Los estafadores también pueden utilizar malware para infiltrarse en la red informática de una empresa
y acceder a los intercambios de correos electrónicos sobre asuntos financieros.

El fraude por suplantación de cuentas de correo electrónico empresarial (BEC), también conocido como suplantación de cuentas de correo electrónico (EAC)
es uno de los delitos en línea que causan mayores pérdidas económicas.
En una estafa de tipo BEC, los delincuentes envían un mensaje de correo electrónico que parece proceder de una fuente conocida
en el que realizan una solicitud legítima […]

volver al inicio

los retos

Anonimato y confidencialidad

El anonimato es diferente de la confidencialidad
[…] estamos cifrando los mensajes
para que, aunque la gente vea que hemos enviado un mensaje
no pueda leer su contenido
pero a veces ni siquiera queremos que la gente vea que hemos enviado un mensaje

El anonimato en Internet es difícil de conseguir.
Requiere un profundo conocimiento de las herramientas que decidas utilizar.

Esta guía te puede dar una idea de su complejidad:
Proveedores de correo electrónico privados

Es más fácil mantener la confidencialidad.

Aunque no tengas nada que ocultar, el uso del cifrado
ayuda a proteger la privacidad de las personas con las que te comunicas
y complica la labor de los sistemas de vigilancia masiva.

Si tienes algo importante que ocultar, estás en buena compañía;
estas son las mismas herramientas que utilizan los denunciantes para proteger su identidad
mientras sacan a la luz abusos contra los derechos humanos, casos de corrupción y otros delitos.

El primer paso fundamental es protegerse
y dificultar al máximo la vigilancia de tus comunicaciones.

Cifrado de extremo a extremo

El cifrado de extremo a extremo (e2ee) para el correo electrónico puede utilizarse para garantizar
que solo el remitente y los destinatarios de un mensaje puedan leer su contenido.

Sin esta protección, es fácil que los administradores de red,
los proveedores de correo electrónico y los organismos gubernamentales lean tus mensajes.

Para lograr el cifrado de extremo a extremo (e2ee), tanto el remitente como los destinatarios deben actuar con cautela.
Un solo error por parte de cualquiera de las partes implicadas puede bastar para comprometer la seguridad del cifrado de extremo a extremo (e2ee).

Los metadatos del correo electrónico, como la dirección del remitente, la dirección del destinatario, la fecha y la hora, no pueden protegerse mediante el cifrado de extremo a extremo (e2ee).
El asunto del correo electrónico también puede quedar desprotegido y ser fácilmente legible, incluso cuando se utiliza el cifrado de extremo a extremo (e2ee).

volver al inicio

las soluciones

Los correos electrónicos cifrados son imposibles de leer

< technical >  Pretty Good Privacy - also known as PGP

El software PGP sigue el estándar de cifrado OpenPGP,
(RFC 4880), para cifrar y descifrar datos.

PGP cifra el cuerpo de tu correo electrónico en un código
que solo la persona adecuada puede leer.

PGP funciona en prácticamente cualquier ordenador o smartphone.
Tiene una licencia libre y es totalmente gratuito.

Cada usuario tiene una clave pública y una clave privada únicas,
que son cadenas aleatorias de números.

Tu clave pública no es como una llave física, ya que se encuentra en un directorio en línea, desde donde cualquiera puede descargarla.
Los usuarios utilizan tu clave pública, junto con PGP, para cifrar los correos electrónicos que te envían.

Tu clave privada es más parecida a una llave física, ya que la guardas para ti (en tu ordenador).
Utilizas PGP y tu clave privada para descifrar los correos electrónicos cifrados que te envían otras personas.

Si un correo electrónico cifrado con PGP cae en manos equivocadas, parecerá un galimatías.
Sin la clave privada del destinatario real, es casi imposible leerlo.

Para protegernos de la vigilancia, debemos aprender cuándo utilizar PGP
y empezar a compartir nuestras claves públicas cada vez que intercambiemos direcciones de correo electrónico.

< technical >  How to use PGP encryption

Para utilizar PGP, necesitarás una clave pública y una clave privada (conocidas conjuntamente como «par de claves»).
Cada una de ellas es una larga cadena de números y letras generados aleatoriamente que son exclusivos para ti.
Tus claves pública y privada están vinculadas entre sí mediante una función matemática especial.

Se necesita una aplicación que gestione las claves y el cifrado y descifrado de mensajes,
esta es una selección de las más populares:

< easy >  Alternatives to PGP encryption

PGP es la mejor solución para mantener comunicaciones seguras con un interlocutor que ya lo utilice.
Puede resultar complicado pedirle a tu interlocutor que empiece a utilizar PGP.

Los servicios que te permiten compartir un secreto una sola vez son una alternativa.

Si quieres enviar algo una sola vez, existen aplicaciones web de código abierto
que te permiten introducir información que solo se puede consultar una vez.

Una vez que el destinatario haya abierto la página, la información se borra,
y lo único que queda en tus registros de chat o en tu correo electrónico es un enlace que ya no funciona.

No es tan seguro como si todo el equipo utilizara PGP, pero es mucho más fácil de configurar y de explicar.
Hemos podido utilizarlo para enviar datos de inicio de sesión a personas sin muchos conocimientos técnicos, y les resulta fácil de usar.

Ejemplo (sin añadir una contraseña):

Imaginemos que tienes una contraseña. Quieres dársela a tu compañera de trabajo, Jane. 
Podrías enviársela por correo electrónico, pero entonces quedaría en su correo, del que quizá se haga una copia de seguridad, 
y que probablemente acabe en algún dispositivo de almacenamiento controlado por la NSA.

Si Jane recibe un enlace a la contraseña y nunca lo abre, la contraseña desaparece. 
Si la NSA se hace con el enlace y ve la contraseña... bueno, entonces tienen la contraseña. 
Además, Jane no puede obtener la contraseña, pero ahora sabe que no solo alguien está revisando su correo electrónico, 
sino que también está haciendo clic en los enlaces.

A continuación se enumeran algunos de estos servicios, todos ellos gratuitos y de código abierto.
También puedes optar por alojar una instancia en tu propio servidor web.

PrivateBin (una especie de versión segura de PasteBin) está desarrollado en PHP
El código de PrivateBin está publicado en GitHub: 3100 estrellas
Las instrucciones de PrivateBin están disponibles en otra página web

OneTimeSecret está desarrollado en Ruby
El código y las instrucciones de OneTimeSecret están publicados en GitHub: 1200 estrellas

SnapPass está escrito en Python. Fue desarrollado originalmente por Pinterest.

El código y las instrucciones de SnapPass están publicados en GitHub: 600 estrellas

volver al inicio