09 - Correo seguro para principiantes (I) - 06/06/2005


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Ver Segundo Artículo: Correo seguro para principiantes (II)

Ver Último Artículo: Correo seguro para principiantes (y III)

Actualmente enviamos cientos de mails pero rara vez nos preguntamos cuales son los canales (seguros o inseguros) por los cuales circulan los mismos desde que salen desde nuestro cliente de mail hasta que son leidos por el destinatario del mismo. Tampoco nos preguntamos que pudo suceder con el mismo en esos canales ni que paso con aquellos mails "que nunca llegaron".


Asi mismo cuando recibimos un mail rara vez (¿nunca?) ponemos en duda que el mismo haya sido escrito por quien dice en el remitente.

Algunas preguntas y respuestas sobre las que deberiamos pensar:

P: ¿Que recorrido siguen nuestros correos?

R: El siguiente "diagrama" intenta mostrar el camino que sigue un mail enviando de Juan a María:

P: ¿Como viaja nuestro nombre de usuario y contraseña desde el cliente de correo al servidor?

R: Viajan en texto plano... si, texto plano. Es decir que si me nombre de usuario es "cristian" y mi clave es "segura_123"; al servidor viaja justamente eso: "cristian" y "segura_123"

En nuestro diagrama:

P: ¿Este texto plano que se envia puede interceptase en el camino?

R: Si se puede. El proceso se llama sniffing y es relativamente sencillo hacerlo y lo peor de todo, generalmente esta accion es difícil de detectar.

En nuestro diagrama:

P: ¿Puede alguien hacerse pasar por otra persona y enviarme un mail?

R: Si puede. El proceso se llama e-mail spoofing. Otra alternativa es robarle el usuario y password al usuario origen y despues enviar un mail "verdadero" al destinatario con texto ofensivo por ejemplo.

P: ¿Para que alguien enviaria un mail falso en mi nombre?

R: Los fines pueden ser muy variados pero generalmente puede basarse en hacer algun tipo de daño a la imagen del dueño original del mail. Son comunes los mails difamatorios. Supongamos que alguien le envia a Ud. un mail insultandolo y en el remitente aparece mi mail webmaster(arroba)cfbsoft.com.ar; ¿ dudaria Ud. que fui yo e intentaria verificar el origen del mail o, por el contrario, se daria de baja de la presente lista (minimamente) porque cree feacientemente que fui yo quien envio el mail?

P: ¿Pueden alguien enviar un mail y luego decir que no lo hizo?

R: Si puede. Intentelo, no es dificil ;) y generalmente le creeran. Ahora me pregunto: si supuestamente tenemos la creencia que solo nosotros podemos enviar un mail con nuestro nombre ¿Por qué nos creen cuando decimos que un mail que tiene nuestro nombre no lo enviamos nosotros?

P: ¿Existen alternativas mas seguras?

R: Si existen y no son dificiles de implementar. Estos nos abre la puerta a la criptografia, los certificados, PGP y GNUPG

Si quiere estar preparado para lo que se viene en los siguientes boletines le recomiendo la sección de Criptografía de este sitio en donde encontrará 55 páginas de criptografíia para principiantes y un excelente libro en español para no tan principiantes de Manuel José Lucena López que puede ser descargado de http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php o http://www.telefonica.net/web2/lcripto/lcripto.html

Buenos Aires, 06 de junio de 2005

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto