Guía: ¿Cómo escoger un servicio confiable y seguro de emails en Internet?

Averigua cómo escoger un servicio de correos electrónicos que realmente protege tu información.

servicios-seguros-email

Todos los días usamos servicios en Internet para realizar nuestro trabajo, desde correos electrónicos hasta herramientas que nos permiten colaborar y comunicarnos con un equipo. Mantener nuestra privacidad en línea, así como proteger nuestros datos adecuadamente, es vital pero ¿cómo podemos escoger un servicio que sea realmente seguro y que nos ayude a proteger la confidencialidad de nuestros correos electrónicos?

Hay muchos factores que pueden influir en una decisión cuando buscamos un servicio totalmente confiable. A continuación, te listamos algunos aspectos que deberías considerar antes de elegir un servicio así como algunos consejos para proteger tu privacidad en línea.

Localización

Uno de los aspectos más importantes es la localización de la empresa que brinde el servicio así como donde están ubicados sus servidores. Cada país está regido por sus propias leyes de privacidad y protección de datos, por lo tanto los datos que almacenen dentro del país también están sujetos a dichas leyes. Esto significa que si la ley de cierto país obligara a una empresa a brindar toda la información posible de una persona en colaboración con una investigación del gobierno u otras agencias, ésta no tendría otra alternativa más que brindarla, inclusive sin necesidad de obtener nuestro consentimiento o notificarnos al respecto.

Revelaciones como las realizadas por Edward Snowden en el año 2013 sobre el espionaje masivo en Estados Unidos, así como otros casos en el pasado, han mostrado que el espionaje es una práctica común en muchos países y por lo tanto, escoger un país con leyes que protejan tu información es de vital importancia. De acuerdo a un mapa que muestra la fortaleza y regulación de la protección de datos en el mundo brindado por Forrester, una compañía de investigación de mercados, de los siguientes son algunos de los países que cuentan con mejores leyes de protección de datos:

  • Alemania
  • Holanda
  • Islandia
  • Noruega
  • República Checa
  • Suiza

Elegir un servicio que se encuentre dentro de la jurisdicción de un país con políticas de seguridad y privacidad estrictas impide la intervención de agentes externos como el gobierno u otras agencias de inteligencia. Por otra parte, es recomendable evitar los países pertenecientes al grupo denominado como “14 Eyes”, creado a partir del acuerdo UKUSA con la finalidad de compartir información de inteligencia entre distintos países. Estos 14 países están subdivididos en tres grupos de la siguiente manera:

“5 Eyes” es la denominación del grupo original y sobre el cual las leyes de vigilancia son más estrictas.

  • Estados Unidos
  • Reino Unido
  • Canada
  • Nueva Zelanda
  • Australia

“9 Eyes” fue creado a partir de la agregación de cuatro países a los 5 originales, estos cuatro países son:

  • Dinamarca
  • Francia
  • Holanda
  • Noruega

“14 Eyes” fue la denominación final al añadirse otros cinco países al acuerdo, estos 5 países son:

  • Alemania
  • Bélgica
  • Italia
  • Suecia
  • España

En base a filtraciones ocurridas en el 2013 sobre la NSA, se determinó que los países en el grupo “5 eyes” estaban involucrados en actividades de espionaje, siendo Estados Unidos el país con más casos de espionaje y vigilancia masiva; por lo cual, los servicios dentro de su jurisdicción deben ser evitados si se quiere mejor proteger la privacidad de nuestros datos.

A pesar de que podemos encontrar países como Alemania, Holanda, Suecia y Noruega en esta lista, estos países, como antes mencionamos, cuentan con más estrictas políticas de privacidad y protección de datos, por lo que el uso de servicios de de correos electrónicos alojados en esos países es generalmente más seguro a pesar de pertenecer a este grupo.

La vigilancia masiva y casos de espionaje no son ajenos a México: te recomendamos leer nuestros artículos sobre “¿Cómo opera la vigilancia ilegal en el sector telecom en México?” y más recientemente, nuestro artículo referente a la proclamación en contra del uso de herramientas de espionaje por el gobierno mexicano contra periodistas, activistas y defensores de derechos humanos.

Políticas de “cero registros” y “cero conocimiento”

Algunos servicios van más allá de lo que la ley les exige y ponen en práctica políticas adicionales para incrementar la seguridad y privacidad de tus datos. Estas políticas tienen el nombre de “cero registros” – o “no logs” en inglés – y “cero conocimiento” – o “zero knowledge”.

Las políticas de cero registros se refieren, como su nombre lo indica, a que la información que se recopilará de nosotros y de nuestro uso del servicio será mínimo. Generalmente cuando ingresamos a un servicio, información sobre nuestro uso del servicio de correo electrónico es capturada y registrada, tales como tu dirección IP, ubicación, dispositivo, etc. Una política de cero registros se asegura que esta información sea mínima o nula.

Por otra parte, las políticas de conocimiento cero están orientadas a soluciones de encriptación donde ni siquiera el proveedor del servicio cuenta con la información necesaria para leer nuestros datos almacenados en su servicio. Con este tipo de políticas, no es necesario depositar un voto de confianza en el proveedor de servicio si se implementan correctamente ya que seremos los únicos con los recursos para tener acceso a nuestro información.

Gracias a este tipo de políticas, muchos servicios como Signal, una aplicación de mensajería encriptada de punta a punta recomendada por Edward Snowden, han podido proteger la información de sus usuarios, aún cuando la ley los obligó a brindar información como parte de una investigación. No obstante, para determinar la confianza que podemos tener en que estas políticas se implementen correctamente, debemos analizar el siguiente punto.

Para conocer más aplicaciones de mensajería segura, puedes leer nuestra entrada donde te mostramos “El top 5 de las ‘Apps’ de chat para móviles que no vulneran tu privacidad”.

Reputación de la empresa

Un rápido vistazo a la empresa nos puede dar mucha información sobre la seguridad que nos puede brindar. Desde incidentes previos hasta su cultura de trabajo son indicadores que nos muestran cuál es la posición de la empresa en general dentro de un tema como el de protección de datos y privacidad. Esta posición puede darnos una idea de cómo la empresa protegerá nuestros datos, e inclusive cómo actuará legalmente en contra de peticiones de datos por parte de gobiernos u otras organizaciones externas.

Lavabit, el servicio utilizado por Edward Snowden en 2013, prefirió retirar su servicio por completo una vez que el gobierno de Estados Unidos intentó usar medios legales para que la empresa divulgara información de sus usuarios. Esto es un claro ejemplo del compromiso que una empresa que de verdad protege la información de sus usuarios puede tener. Otras empresas, sin embargo, prefieren divulgar la información de sus usuarios para cumplir con lo que la ley les exige, poniendo en riesgo la privacidad y seguridad de los mismos así como la reputación de la empresa.

Revisiones por terceros

Es importante revisar si un servicio ha recibido alguna auditoría por una empresa externa. Las auditorías son pruebas de que el servicio cumple con lo que establece y funciona según lo esperado. Además, estas revisiones ayudan a las empresas a encontrar errores y fallas de seguridad, permitiéndoles corregirlos oportunamente para evitar que sean explotados con fines maliciosos.

Si el servicio ha sido revisado por un tercero, tenemos una prueba más de que cumplirá con lo que se ha comprometido.

En el caso del software libre o de código abierto, las revisiones son aún más abundantes ya que el código puede ser revisado por miles de expertos alrededor del mundo y se puede asegurar que, además de realizar sus tareas correctamente, no incluye software malicioso o una puerta trasera que permita a otros realizar actividades de espionaje. Esto último es difícil de asegurar con software de código cerrado.

Políticas de privacidad

Todos los servicios en línea tienen disponible una política de privacidad que especifica los datos que pueden ser recolectados, la manera en la que lo hacen y el uso que se les da. Leer esta política puede darnos un mejor panorama de cómo serán tratados nuestros datos en ese servicio y ayudarnos a decidir si es algo con lo que estamos de acuerdo.

Implementaciones técnicas

Si bien las leyes y políticas que rigen un servicio son importantes, también es necesario verificar que la implementación técnica del mismo use tecnología actualizada y tome todas las medidas necesarias para proteger tu información. Las auditorias antes mencionadas pueden darnos información al respecto pero, en ocasiones, no aseguran que la tecnología utilizada sea la mejor. Evidentemente no todas las personas tienen los conocimientos suficientes para juzgar este aspecto, sin embargo, podemos revisar elementos sencillos como los siguientes:

  1. Se deben usar conexiones seguras a través de HTTPS en todo momento.
  2. Los algoritmos de encriptación deben estar actualizados.
  3. Las aplicaciones para escritorio, dispositivos móviles y web deben recibir actualizaciones continuamente.
  4. Debe contar con funciones adicionales de seguridad como autenticación de dos factores.

Es importante remarcar que, aún cuando un servicio sea seguro y proteja nuestros datos, es necesario que el dispositivo donde lo usemos esté asegurado. Esto se puede lograr instalando oportunamente todas las actualizaciones a nuestro sistema así como evitando el uso contraseñas débiles y la descarga de archivos que puedan ser maliciosos.

Para el caso de servicios por Internet a los que accedamos a través de un navegador, es importante que nuestro navegador no tenga características que nos puedan hacer vulnerables como extensiones de dudosa procedencia. Mantener nuestro navegador actualizado también es una medida indispensable para permanecer seguros.

Pertenencia de tu llave privada

Muchos servicios hacen uso de llaves de encriptación asimétrica: en lugar de contar únicamente con una contraseña, se cuenta con un par de llaves. Una llave pública permite que otras personas pueden encriptar contenido sólo para nosotros y una privada nos hace capaces de desencriptar dicho contenido. Esta implementación de encriptación a través de llaves puede ser desafiante para algunas personas. Es por ello que algunos servicios han optado por ofrecer encriptación de manera transparente: no tendrás que realizar ninguna acción adicional a lo que normalmente haces y el sistema se encargará de encriptar todo correctamente por ti.

La encriptación transparente es ideal para personas que se adentran al mundo de la privacidad y sus herramientas pero viene con una desventaja: para poder brindarnos esta facilidad, los servicios deben almacenar una copia de nuestras llaves en sus servidores. Esta copia debe ser guardada de manera encriptada, usando una contraseña de nuestra inventiva asegurando que sólo nosotros podamos desencriptarla para leer nuestra información. Sin embargo, esta implementación de encriptación – por parte del servicio, en vez del propio usuario – ha probado ser difícil de implementar de manera segura. Por esta razón, algunas compañías han preferido no incorporar encriptación de manera transparente en sus servicios.

Cabe aclarar que el hecho de que un servicio mantenga una copia de tu llave o no, no significa que el servicio sea más seguro que otro. Evitar la encriptación transparente significa que nosotros mismos tendremos que crear, respaldar y actualizar nuestro par de llaves, lo que puede llegar a ser complicado: si no se tiene el cuidado correcto, pueden esas llaves llegar a caer en manos de personas malintencionadas, creando un nuevo riesgo para nuestra privacidad.

Como en todos los factores que hemos analizado, éste es sólo uno más que debemos tomar en cuenta para finalmente analizarlos todos en conjunto y decidir cuál servicio es el que nos conviene de acuerdo a nuestras preferencias, trabajo y necesidades.

Herramientas Disponibles

A continuación te mostramos algunas de las herramientas disponibles que resaltan por su enfoque en crear servicios seguros y privados accesibles para todo el mundo.

Kolab Now

Kolab Now es una herramienta enfocada a equipos basada en Suiza. Ofrece funcionalidades como el envío de correos, el almacenaje de archivos, calendarios, listas de tareas y otras herramientas que facilitan la coordinación del trabajo entre personas de un mismo equipo.

Kolab Now no encriptará automáticamente tus correos electrónicos: esto se debe hacer a través de una aplicación externa como puede ser Thunderbird con su complemento EnigMail y GPGTools o GPG4Win. Prefieren no incorporar la funcionalidad de encriptación porque ofrecer un servicio de cifrado punta a punta en la nube es muy complicado y presenta ciertos riesgos para los usuarios”.

Kolab Now no ofrece cuentas gratis pero, sí, una prueba de 30 días. Además, permite crear cuentas para individuos, equipos, e inclusive una solución que puedes instalar y manejar desde tu propio servidor, haciéndolo ideal para negocios y permitiendo tener un mayor control sobre la información.

Mailfence

Mailfence es un proveedor de correo electrónico basado en Bélgica. Ofrece soluciones de calendario, almacenaje de archivos y facilidades para compartir información con otras personas y grupos.

Mailfence ofrece planes gratis y de paga para individuos así como planes para empresas. La encriptación de tus correos electrónicos es realizada de manera transparente entre usuarios de Mailfence.

NeoMailBox

NeoMailBox es un proveedor de correo electrónico basado en Suiza, ofrece herramientas que facilitan tu anonimato al ocultar tu dirección IP.

NeoMailBox no cuenta con planes gratis: es posible elegir entre sólo una solución de correos o un paquete que incluya correo electrónico y el software para ocultar tu dirección IP. También cuenta con paquetes ideales para negocios y familias.

ProtonMail

ProtonMail es un proveedor de correo electrónico basado en Suiza que se enfoca en la privacidad de tus correos e información. Además, para quienes quieren incrementar su anonimato en línea, cuenta con una página .onion que puede ser visitada a través de la red Tor.

ProtonMail ofrece cuentas gratis con ciertas limitaciones, así como cuentas de pago con más espacio y capacidades. La encriptación de tus correos electrónicos se realiza de manera transparente entre usuarios de ProtonMail pero la llave privada se queda en los servidores de la compañía.

RunBox

Runbox es un proveedor de correo electrónico basado en Noruega que ofrece soluciones de hosting, haciéndolo una opción atractiva para servicios y empresas en Internet.

RunBox no ofrece planes gratis y no encriptará tus correos electrónicos: deberás hacer uso de herramientas externas como las que ya mencionamos anteriormente. A pesar de esto, además de la ubicación de sus servidores en Noruega, cuenta con buenas políticas de privacidad que protegen la privacidad de tu información.

Tutanota

Tutanota es un proveedor de correo electrónico basado en Alemania que ofrece encriptación de punta a punta y guarda una cantidad mínima de información.

Tutanota ofrece cuentas gratis con ciertas limitaciones, así como cuentas de pago con más espacio y capacidades. Además, cuenta con calendario y almacenaje en la nube completamente cifrados para complementar su servicio de correo electrónico.

Características Kolab Now Mailfence NeoMailBox ProtonMail RunBox Tutanota
País de la compañía

Suiza

Bélgica Suiza Suiza Noruega Alemania
Ubicación de sus servidores  

Suiza

 

Bélgica Suiza Unión Europea Noruega Alemania
Encriptación de punta a punta  

No. Pero se puede conseguir con herramientas de cifrados de terceros.

 

No. Pero se puede conseguir con herramientas de cifrados de terceros.
No. Pero se puede conseguir con herramientas de cifrados de terceros.
Página Web  

https://kolabnow.com

 

https://www.mailfence.com https://www.neomailbox.com https://protonmail.com https://runbox.com https://tutanota.com
Plataformas  

Web, Android, iOS, Windows, macOS, Linux

 

Web, Android, iOS Web Web, Android, iOS Web Web, Android, iOS
Versión gratuita  

No

 

No No
Versión de pago  

 

Código libre  

Sólo la base creada por Kolab.

 

Sólo su librería de encriptación y otros componentes. Sólo algunos componentes. Sólo la aplicación web. Sólo algunos componentes.
Autenticación de dos factores  

No

 

No No
¿Llave privada en posesión del usuario?  

Sí: a condición que la encriptación se hace con herramientas de cifrado de terceros.

 

Sí, pero una copia de la llave privada es alojada de manera encriptada en el servidor de la compañía. No: se aloja de manera encriptada en el servidor de la compañía. No: se aloja de manera encriptada en el servidor de la compañía.
Sí: a condición que la encriptación se hace con herramientas de cifrado de terceros. No: se aloja de manera encriptada en el servidor de la compañía.

Conclusiones

Revisar los factores anteriores es vital a la hora de seleccionar un servicio de correo electrónico alojado en la nube. Estos nos dan más información sobre cómo son tratados nuestros datos, a qué leyes están sujetos y, por lo tanto, la capacidad que tendrá un servicio de garantizar la confidencialidad de nuestras comunicaciones y protegerlas con las medidas de seguridad más adecuadas. Proteger nuestros datos no solamente ayudará a prevenir o mitigar casos de hackeo, interceptación no autorizada o espionaje, sino también de robo de identidad, vulneración de confidencialidad u otras actividades que puedan resultar en un daño a nuestras personas, reputación y círculo social. Hay cientos de soluciones disponibles actualmente, unas más aptas para cierto tipo de trabajo que otras. Pero seguramente habrá una que encaje perfectamente con nuestras necesidades y actividades. En esta entrada, sólo te hemos mencionado algunas de estas soluciones. Pero en futuras entradas, te ofreceremos más información sobre cuáles son las mejores y por qué razones deberías probarlas.

By Diego IslasDiego Islas on Twitter

Diego Islas Ocampo es Analista Junior en Privacidad y Seguridad Digital en la Asociación Civil “Artículo 12” y su programa dedicado a la defensa, promoción y protección de datos personales “SonTusDatos”. Más información sobre Diego: https://sontusdatos.org/staff/diego-islas-ocampo/. Llave pública GPG: https://sontusdatos.org/contacto/llave-publica-de-diego-islas-ocampo/.

Comentarios (0)

Deja un comentario...