¿Qué es la encriptación de correo electrónico?

La encriptación de correo electrónico oculta el contenido de un mensaje de correo electrónico para que personas no autorizadas no pueden verlo ni manipularlo.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir "encriptación de correo electrónico"
  • Explicar cómo funciona la encriptación de correo electrónico
  • Conocer los principales tipos de encriptación de correo electrónico

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es la encriptación de correo electrónico?

La encriptación de correo electrónico es un método para ocultar el contenido de un mensaje de correo electrónico, y evitar así que personas no autorizadas lo puedan ver o modificar. La encriptación oculta este contenido codificándolo, es decir, con el usa una clave criptográfica* para cambiar el texto legible por combinaciones indescifrables de caracteres aleatorios. Con el uso de una clave, el proveedor de correo electrónico del destinatario es capaz de descifrar el texto y revelar el contenido del mismo una vez se haya entregado de forma segura en la bandeja de entrada prevista.

Muchos proveedores de correo electrónico usan la encriptación para transmitir de forma segura los mensajes entre los servidores de correo electrónico del remitente y del destinatario. Esto puede ayudar a asegurar que los atacantes no intercepten los correos electrónicos mientras estos están en tránsito, y que no puedan ver, alterar ni robar la información confidencial que contienen dichos mensajes. Sin embargo, algunos servicios de correo electrónico no ofrecen encriptación, lo cual deja a los usuarios más vulnerables ante el robo de datos y otros ataques.

*Una clave criptográfica es una cadena de caracteres que un algoritmo criptográfico usa para codificar los datos.t

¿Cómo funciona la encriptación de correo electrónico?

La encriptación de correo electrónico la gestionan los proveedores de servicios de correo electrónico, que se encargan de almacenar, transmitir y recibir los mensajes de correo electrónico entre los usuarios. Hay dos métodos principales para encriptar los correos electrónicos: la encriptación a nivel de transporte y la encriptación de un extremo a otro.

Encriptación a nivel de transporte

La encriptación a nivel de transporte usa el protocolo Transport Layer Security (TLS) para encriptar y desencriptar los mensajes de correo electrónico. También es responsable de autenticar la identidad de los servidores que participan en la transmisión de los mensajes de correo electrónico, para que los atacantes no puedan interceptar los mensajes.

El proceso de encriptar los mensajes y autenticar la identidad del cliente (es decir, el dispositivo del usuario) y el servidor web se conoce como Protocolo de enlace TLS, el cual se lleva a cabo en cuatro pasos:

  1. El cliente y el servidor acuerdan qué versión de TLS se va a utilizar para establecer una conexión.
  2. El cliente y el servidor acuerdan qué conjunto de cifrado (o algoritmos) se va a utilizar para determinar las claves de encriptación de esa sesión.
  3. Se usa un certificado TLS para verificar la identidad del servidor.
  4. Las claves de encriptación* (también conocidas como claves de sesión) se generan y se utilizan para encriptar el mensaje una vez haya finalizado el protocolo de enlace.

La encriptación a nivel de transporte protege los correos electrónicos durante el proceso SMTP. El SMTP, o Protocolo para transferencia simple de correo, es un protocolo de entrega de correo electrónico responsable del intercambio de datos entre un cliente y un servidor de correo electrónico. Durante este proceso, se suele transferir un mensaje de correo electrónico a varios servidores de correo electrónico antes de llegar a su destino; la encriptación TLS garantiza que el mensaje está protegido entre transferencias de servidor a servidor. Cada conexión servidor-cliente o servidor-servidor utiliza un nuevo proceso de protocolo de enlace TLS. Esto significa que el mensaje se desencripta brevemente y se vuelve a encriptar en cada salto. (Más información sobre cómo funciona SMTP.)

Para visualizar este proceso, imaginemos que Alice envía un regalo desde San Francisco a Tokio. Ponen el regalo en una caja, que asegura y garantiza la privacidad del contenido (igual que la encriptación garantiza la privacidad del contenido de un mensaje de correo electrónico). Entregan el paquete a un empresa postal, que lo entrega a su vez en una oficina de correos local. Se inspecciona el paquete para asegurar que tanto el contenido como la información de entrega sean correctos. A continuación, se envía a Tokio, donde pasa por la aduana y se inspecciona de nuevo. Finalmente, se traslada el paquete a una oficina de correos local para su entrega, donde se somete a una última inspección antes de llegar a su destino.

Esto es similar a la encriptación TLS, en la que un correo electrónico se encripta y se vuelve a desencriptar por cada servidor al que viaja antes de ser entregado a su destino final.

*Una clave de sesión es una cadena criptográfica temporal que usan ambas partes durante el protocolo de enlace TLS.

Encriptación de un extremo a otro

A diferencia de la encriptación de la capa de transporte, la encriptación de un extremo a otro (también conocida como E2EE) no desencripta y vuelve a encriptar un mensaje de correo electrónico mientras está en tránsito. En cambio, el mensaje solo lo pueden desencriptar dos partes: el remitente y el destinatario final del correo electrónico. Esto evita que terceros intercepten un mensaje de correo electrónico y espíen, alteren o copien su contenido.

Al igual que la encriptación TLS, E2EE utiliza la encriptación de clave pública (o encriptación asimétrica) para encriptar y proteger los mensajes entre el emisor y el receptor. Sin embargo, mientras que TLS encripta los mensajes entre un cliente y un servidor, E2EE encripta la comunicación entre el remitente y el destinatario del correo electrónico, lo cual garantiza que nadie, ni siquiera los proveedores de servicios, pueda desencriptar el mensaje. (Más información sobre la diferencia entre E2EE y la encriptación TLS).

Volvamos al ejemplo anterior. Imaginemos ahora que Alice envía un paquete de un barrio de San Francisco a otro. Un cartero recoge el paquete y lo entrega directamente a su destino final, sin inspecciones intermedias. Esto es similar a la encriptación de un extremo a otro, en la que el mensaje de correo electrónico del remitente no se desencripta antes de llegar a su destinatario.

¿Por qué es importante la encriptación para la seguridad del correo electrónico?

Cuando se creó el correo electrónico en la década de 1970, los mensajes entre usuarios no estaban encriptados. Todo el contenido de un mensaje de correo electrónico, incluidos los datos confidenciales del cuerpo del mensaje, estaba en texto plano, por lo que cualquiera podía leerlos sin problemas. Esto dejaba a los usuarios vulnerables a los ataques, ya que los atacantes podían interceptar los mensajes y robar los datos sin tener que desencriptarlos primero.

Con el desarrollo de los protocolos de encriptación, los usuarios y los proveedores de correo electrónico pudieron convertir los mensajes de texto plano en texto encriptado, lo cual impedía que personas no autorizadas pudieran espiar o robar datos mediante un rastreador de paquetes (un programa diseñado para recopilar y analizar los datos transmitidos por una red).

Sin embargo, aunque estos protocolos de encriptación desempeñan un papel importante para proteger el correo electrónico de los ataques, siguen siendo vulnerables a los riesgos.

Por necesidad, los mensajes de correo electrónico encriptados mediante TLS se desencriptan entre las transferencias del servidor, lo cual dificulta una protección completa de los datos ante ataques en ruta (en ocasiones conocidos como ataques de intermediario) mientras un correo electrónico está en tránsito. Durante un ataque en ruta, los atacantes interceptan los datos confidenciales antes de que estos lleguen al destinatario.

Por su parte, los proveedores de servicios que ofrecen E2EE pueden incorporar puertas traseras de encriptación en sus servicios. Una puerta trasera es una manera secreta de burlar los métodos de encriptación y acceder a los datos confidenciales del usuario. Los proveedores pueden utilizar estas puertas traseras para espiar la actividad de los usuarios o utilizar de forma ilegal sus datos.

¿Cuáles son las herramientas de encriptación de correo electrónico más comunes?

La encriptación del correo electrónico la suele gestionar el proveedor de servicios (por ejemplo, Gmail) o la configura el usuario. Las organizaciones que necesitan una encriptación fuerte para proteger sus mensajes pueden usar software de puerta de enlace o servicios basados en la web, que les permiten establecer políticas para determinar qué correos electrónicos se deben encriptar y especificar el protocolo que se debe utilizar para encriptar los mensajes.

Algunas de las herramientas de encriptación más comunes son las siguientes:

Herramienta de encriptación Tipo de encriptación Ventajas Desventajas
STARTTLS es un comando que indica a un servidor de correo electrónico que inicie una conexión TLS Capa de transporte
  • Se utiliza para asegurar las conexiones SMTP y IMAP
  • Lo puede utilizar cualquier servidor de correo electrónico que sea compatible con encriptación, incluso si los servidores usan protocolos diferentes
  • Amplía compatibilidad con los proveedores de correo electrónico
  • Lo debe configurar el proveedor de correo electrónico del destinatario
  • Los mensajes pueden ser interceptados entre las transferencias SMTP
  • Añade latencia a las conexiones SMTP
STLS, al igual que STARTTLS, es un comando que inicia una conexión TLS para POP3 Capa de transporte
  • Se usa para proteger las conexiones POP3
  • Lo puede utilizar cualquier servidor de correo electrónico que sea compatible con encriptación, incluso si los servidores usan protocolos diferentes
  • Amplía compatibilidad con los proveedores de correo electrónico
  • Lo debe configurar el proveedor de correo electrónico del destinatario
  • Los mensajes pueden ser interceptados entre las transferencias SMTP
  • Añade latencia a las conexiones SMTP
Pretty Good Privacy (PGP) y OpenPGP son programas que utilizan encriptación de clave pública y privada De un extremo a otro
  • Ofrece firmas digitales para demostrar la autenticidad de los mensajes
  • Compatible con la mayoría de los servicios de correo electrónico
  • Más difícil de configurar; requiere que los usuarios configuren un par de claves públicas/privadas
  • No encripta los metadatos (por ejemplo, encabezados de correo electrónico)
  • Hace posible que terceros identifiquen al remitente y al destinatario de un correo electrónico
  • No es compatible con otros protocolos
  • No se integra fácilmente con los clientes de correo electrónico
Seguro/Extensiones multipropósito de correo de Internet (S/MIME) es un estándar de encriptación de clave pública que indica a los servidores cómo encriptar los datos MIME De un extremo a otro
  • Utiliza Certificado de CA para autenticar los mensajes
  • Ofrece firmas digitales para demostrar la autenticidad de los mensajes
  • Amplía compatibilidad con los proveedores de correo electrónico
  • Los certificados deben renovarse anualmente
  • No encripta los metadatos (por ejemplo, encabezados de correo electrónico)
  • Hace posible que terceros identifiquen al remitente y al destinatario de un correo electrónico
  • No es compatible con otros protocolos

Otros protocolos de encriptación del correo electrónico son GNU Privacy Guard (GPG), una alternativa gratuita a PGP; y Bitmessage, un protocolo de encriptación basado en la criptomoneda Bitcoin.

¿La encriptación de correo electrónico protege el correo electrónico?

La encriptación del correo electrónico protege el contenido de los correos electrónicos. Pero el contenido de los propios mensajes de correo electrónico podría seguir siendo inseguro, o peligroso. Por ejemplo, un atacante podría enviar un correo electrónico de phishing completamente encriptado a una víctima que tengan como objetivo, y los métodos de encriptación que utiliza no harían nada para evitar que la víctima sufriera el ataque.

La seguridad del correo electrónico es un campo muy amplio con múltiples vectores de ataque que hay que abordar. Para más información sobre cómo proteger las bandejas de entrada del correo electrónico, consulta ¿Qué es la seguridad del correo electrónico?