Es preocupante saber que en cualquier momento puedes abrir un correo electrónico de tu jefe, de un familiar o de tu banco y que resulte ser un scam de phishing. Puede pasar que cualquiera de todos esos correos con aspecto inocente que recibes a diario sea en realidad de alguien que está intentando estafarte para hacerse con tus datos de acceso y darles el control de tus datos confidenciales o incluso de tu identidad.
La mayoría de la gente tiende a pensar que es culpa del usuario cuando cae en alguna estafa de phishing: simplemente ha hecho clic donde no debía y la solución es que la gente no haga clic donde no debe. Como expertos en seguridad y en las técnicas del malware, creemos que es una forma errónea de ver el problema.
El verdadero problema es que los sistemas de correo electrónico actuales están basados en código web y son campos de minas electrónicos llenos de solicitudes y tentaciones para hacer clic en varios sitios y ser partícipes de una experiencia online que nos incita a responder a todo y a ser más interactivos. No se trata solo de Gmail, Yahoo Mail y otros servicios similares: los programas de correo electrónico de escritorio como Outlook muestran los mensaje de la misma manera y no es segura.
En pocas palabras, un correo electrónico seguro es el correo electrónico de texto sin formato que solo muestra las palabras del texto tal como y como se reciben, sin incluir enlaces o imágenes. El email basado en web es cómodo para los anunciantes (y te permite escribir mensajes de correo electrónico estilizados y con una tipografía más bonita), pero lleva consigo riesgos innecesarios e incluso peligrosos porque una página web (o un correo electrónico) pueden mostrar fácilmente una cosa y en realidad estar haciendo otra.
Volver a los orígenes del correo electrónico y usar texto sin formato puede parecer una medida radical, pero es una opción mucho más segura. Incluso los expertos en seguridad del gobierno de Estados Unidos han llegado a la sorprendente, pero importante, conclusión de que toda persona, organización o gobierno al que le preocupe la seguridad en la web debería volver al correo electrónico de texto sin formato:
“Las organizaciones han de asegurarse de que la opción HTML está desactivada en los correos electrónicos, así como deshabilitar los enlaces. Todo debe usarse en texto sin formato para reducir la posibilidad de secuencias de comandos potencialmente peligrosas o de enlaces en el cuerpo del correo electrónico, así como la probabilidad de que un usuario haga clic en algún sitio sin pensarlo. Al usar texto sin formato el usuario tiene que teclear el enlace o copiarlo y pegarlo. Este paso adicional permite que el usuario se plantee y analice lo que está haciendo antes de hacer clic en un enlace”.
Falta de comprensión del problema
En los últimos años, los usuarios de correo web han recibido instrucciones severas para que presten atención a todos los matices de cada mensaje de correo electrónico. Se recomienda no abrir correos electrónicos de desconocidos o analizar un archivo adjunto antes de abrirlo. Existen organizaciones que pagan a compañías de seguridad para comprobar si sus empleados siguen el protocolo de seguridad, pero sigue habiendo casos de phising y es un problema cada vez más común.
Los medios de comunicación pueden hacer que el tema sea aún más confuso. Por ejemplo, el New York Times llegó a decir que el fallo de seguridad del Comité Nacional Demócrata había sido tanto “descarado” como “furtivo”, señalando varios posibles problemas (equipo de seguridad de red anticuado, hackers sofisticados, investigadores despreocupados y personal de asistencia desatento), todo ello antes de revelar que el punto débil era en realidad un usuario que estaba demasiado ocupado y que actuó “sin pensar mucho”.
Pero el verdadero problema del webmail (un error de seguridad de varios millones de dólares), fue la idea de que si los emails podían ser enviados o recibidos a través de una página web, estos podrían ser más que simple texto, e incluso ser páginas web en sí mismo mostrándose en un navegador. Esto es lo que realmente hizo que surgiera la industria del phishing criminal.
Diseñado para ser peligroso
Un navegador web es la herramienta perfecta para la inseguridad. Los navegadores han sido diseñados para mezclar sin mesura todo tipo de contenidos de varias fuentes (texto de un servidor, anuncios de otro, imágenes y vídeos de terceros, otro proveedor con botones de “me gusta”, etc). Una página web de hoy en día no es más que un amalgama de páginas de terceros que pueden llegar a ser decenas en una sola página. Para hacer que este conjunto de imágenes, enlaces y botones aparezca de forma unificada e integrada, el navegador no te muestra de dónde viene cada pieza de la página web o a dónde te lleva si haces clic.
Es peor aún, porque el navegador permite que las páginas web (y por ende los correos electrónicos) te mientan al respecto. Cuando escribes “google.com” en tu navegador, puedes estar bastante seguro de que te va a llevar a la página de Google. Sin embargo, si haces clic en un enlace o en un botón donde pone “Google” puede que no acabes en la página de Google. A no ser que te pongas a examinar detalladamente el código fuente HTML del email, el navegador tiene docenas de formas de manipularte para engañarte.
Esto es lo contrario a seguridad porque los usuarios no pueden predecir las consecuencias de sus acciones, ni decidir de antemano si pueden aceptar los posibles resultados. Un enlace perfectamente seguro puede estar al lado de uno malicioso y no haber diferencias entre los dos. Cuando un usuario se enfrenta a una página web y decide hacer clic en algún sitio, no hay una forma razonable de saber a ciencia cierta lo que va a pasar o con qué otra compañía o servicios de terceros va a interacturar al hacer clic.
Los navegadores están diseñados para esconder esta información, aunque por lo menos tienes la opción de empezar a navegar usando una página de confianza. Sin embargo, un correo electrónico basado en web puede mandarte todo un ataque malicioso en forma de web a tu bandeja de entrada.
La única forma de estar seguros de la seguridad en el entorno de los webmails es tener las habilidades de un desarrollador web profesional y poder entender todas las capas de código HTML o Javascript. Es la única manera de saber de antemano las consecuencias de hacer clic en un enlace y obviamente no es algo que se pueda esperar de los usuarios normales para que se protejan de las amenazas.
Hasta que los diseñadores de software y los desarrolladores cambien los servicios de correo electrónico basados en web y permitan que los usuarios tomen decisiones informadas cada vez que hagan clic en un enlace, deberíamos seguir el consejo de C.A.R Hoare, uno de los pioneros en seguridad informática: “El precio de la fiabilidad es la búsqueda de la máxima simplicidad”.
El correo seguro es el correo en texto sin formato
Las empresas privadas y las organizaciones son aún más vulnerables que los individuos porque un usuario solo ha de preocuparse por sus propios clics, mientras que cada trabajador de una organización es un punto débil por sí mismo. Es pura matemática: si cada trabajador tiene las mismas posibilidades de caer en una trampa de phising, el riesgo combinado de la compañía en su conjunto es mucho mayor.
De hecho, las empresas con 70 o más empleados tienen un 50 por ciento más de posibilidades de que alguien sea engañado. Las empresas deberían analizar de forma crítica a los proveedores de servicios de correo electrónico basados en web que les ofrecen menos seguridad que jugársela lanzando una moneda al aire.
Como expertos en tecnología, llevamos tiempo luchando con el problema de que hay una parte de la tecnología que es una mala idea, aunque nos parezca emocionante. La sociedad debería hacer lo propio. Los usuarios que sean conscientes de los problemas de seguridad deberían exigir a sus proveedores de correo electrónico que ofrezcan la opción de texto sin formato. Desafortunadamente, son opciones que escasean aunque sean clave para detener la epidemia de falta de seguridad en los correos web.
Deberíamos dejar de usar los proveedores de correo electrónico que se nieguen a ofrecer esta opción, al igual que evitamos un callejón oscuro si queremos sentirnos seguros. Esos callejones de Internet pueden tener un aspecto bonito con sus anuncios, fotos y animaciones, pero no son un lugar seguro.
Autores:
- Sergey Bratus (Investigador asociado de Ciencias de la Computación, Darmouth College)
- Anna Shubina (Postdoctorado en Ciencias de la Computación, Darmouth College)
En colaboración con Robert Graham (desarrollador e investigador en Ciberseguridad)
Este artículo ha sido publicado originalmente en The Conversation. Puedes leer el artículo original aquí
Traducido por Silvestre Urbón
Fotos | iStock
Ver 20 comentarios
20 comentarios
acerswap
Yo veo tan peligroso como eso o mas el uso indiscriminado de acortadores de enlaces.
ilwp
No se muy bien que cambios han tenido lugar en los puestos de decision de WebLog S.L. pero el nivel de los artículos que están apareciendo de un tiempo a esta parte son preocupantes.
No es sorpresa para nadie que marcas como Apple, Google o Sony son amadas y alabadas en este grupo editorial a la minima oportunidad. Como tampoco es nada nuevo que a otras marcas como Microsoft o Nintendo se les intenta menoscabar y reducir sus virtudes al mínimo en cada ocasión.
Como cada grupo editorial tiene sus filias y sus fobias pues se acepta como algo normal en medios de comunicación, por mucho que sea lamentable, pero es como funciona.
Lo que no termino de comprender es la tendencia ultima donde se sacan "artículos" tendenciosos que buscan por un lado el click bait y por otro dirigir la opinion hacia unas marcas o pautas de comportamiento.
Empezando por los famosos artículos feministas/machistas y siguiendo con ridículos épicos como los de PowerPoint es malo, la tecnología en las escuelas es mala o este de regresemos al correo en texto plano.
Si un blog de "tecnología" de centra en contar que los hombres y las herramientas tocológicas son malas.....
En resumen, que cada vez es mayor el tiempo que paso sin abrir sus webs y resulta que se esta genial sin hacerlo.
whisper5
Que un investigador en ciencias de la computación, un posdoctorado en ciencias de la computación y un investigador de ciberseguridad se junten para escribir un artículo sobre la seguridad del correo electrónico y que en lo único que se centren sea la necesidad de utilizar únicamente texto sin formato, porque HTML tiene sus riesgos, me parece preocupante (y que les publiquen el artículo también).
La seguridad informática de los correos electrónicos tiene muchos frentes: privacidad, autenticación, integridad, legitimidad, SPAM, phising, ficheros adjuntos peligrosos, etc. Centrarla en el formato de los mensajes me parece insuficiente, y encima asegurar “El único correo electrónico seguro es el que no tiene formato”, ignorando todos los demás aspectos, me parece irresponsable.
El principal problema de la seguridad de los mensajes de correo electrónico es que todos los servidores o líneas de comunicación por los que pasen permiten su lectura a menos que estén cifrados de extremo a extremo, algo que no se suele hacer. Otro problema es que cualquiera puede ser remitente de un mensaje de correo para cualquier destinatario (algo que no ocurre en la mensajería instantánea, porque los usuarios deben ser validados) y esto favorece el correo no deseado.
Otra perla: “Una navegador web es la herramienta perfecta para la inseguridad”. No les basta con demonizar a HTML sino también a los navegadores. Admito que la seguridad informática está hecha unos zorros, que es muy mejorable, pero el problema no es ni HTML ni los navegadores en general. Esa frase es como decir “El automóvil es la herramienta perfecta para la muerte”.
Cuando hablan de las empresas siguen destacando el problema del HTML, sin decir nada de un problema que considero mayor: las empresas envían montones de correos electrónicos con información privada y confidencial que como están sin cifrar se pueden leer. Ahí se incluyen contraseñas de acceso, cifras económicas, estrategias de negocio, información interna de proyectos y productos, y un largo etcétera. Esto afecta a todos los correos, no a los que puedan llegar de forma fraudulenta. Esto es un aspecto de la seguridad mucho más grave del que no dicen nada. Para más inri, los autores aseguran que no hemos entendido el problema del correo electrónico (literalmente dicen “Falta de comprensión del problema”) y ellos han venido a explicárnoslo. En fin, lo que hay que leer.
pandiloko
¿Ayudaría pasar de HTML a Markdown? Obviamente ignorando los tags HTML que generalmente son admitidos en Markdown. Creo que sería un compromiso interesante entre utilidad y seguridad.
Usuario desactivado
He publicado un estudio de 8 años que concluye que el ordenador conectado a internet mas seguro es el que le cortas todos los cables. Incluidos el de corriente, teclado y mouse.
En la administracion española se lo estan pensando seriamente, tampoco lo van a notar mucho.
l0ck0
la culpa no es del formto del correo, por mucho que tu mandes un correo en texto plano con un enlace a una web de phising si el usuario copia esa direccion en el navegador caera.
y seguro que si mandas un correo haciendote pasar por el bbv en perfecto texto plano y le cuentas a la victima que lo envias asi para evitar que los hacker malos malosos le puedan robar su dinero y que tiene que copir la web haciendo un c/p, arrastrando la direccion o la forma que se os ocurra habra muchos que caeran por que el problema sigue estando en el usuario final que no tine conocimientos basicos de sentido comun
marcos3897
¿Y que correo gratuito de solo texo me pueden recomendar?
josemazcorro
La conclusión de que debemos de dejar de usar servicios que no ofrecen la opción de texto sin formato es incorrecta y puede salir una mejor de lo que dice el artículo:
Los usuarios deberiamos adaptar nuestro comportamiento a nuestras habilidades. Es una cuestión un tanto misteriosa, porque nunca sabes que tan fiable es esta relación hasta que es muy tarde, pero no se trata simplemente de saber... hay que tener un poco de intuición para estas cosas, como en cualquier contexto... la intuición que se forma con naturalidad con la experiencia.
Ya sé que esto es conocimiento general pero cuando llegamos a soluciones únicas como usar texto sin formato, me parece que se nos olvida estos principios básicos. Sería bueno recordarlos de vez en cuando y si porque no, hacer recomendaciones. Yo tampoco me fió cuando hay mucho contenido en mis mails. Y si nos conformamos pronto se parecera a cualquier página de contenido de dudosa procedencia :P
alberto_bengoa
La única comida que no engorda es la que no se come, y el único email seguro es el que no se envía.
Lo demás son todo mentiras. Todos los que nos movemos en este sector sabemos que la seguridad total no existe.
Llamar "seguro" a algo (hablando de la parte de seguridad informática) debería estar penado por ley por no es mas que un engaño para millones de personas que no tienen por que saber de seguridad ni de informática.