¿Por qué el correo electrónico no puede ser protegido de la vigilancia del gobierno?
“Si supieras lo que sé sobre el correo electrónico, es posible que tampoco lo uses,” dijo el propietario del servicio de correo electrónico seguro Lavabit ya que recientemente lo cerró. “No hay manera de hacer correo electrónico cifrado donde el contenido está protegido,” dijo Phil Zimmermann mientras de repente cerraba el servicio de correo electrónico seguro de Silent Circle. La realidad es que el correo electrónico es fundamentalmente inseguro y nunca puede ser protegido de la vigilancia gubernamental de la misma manera que otras comunicaciones pueden.
Claro, es posible que esté utilizando un cifrado diferente y “seguro” Servicio de correo electrónico que no se ha cerrado todavía. Pero son vulnerables a la misma presión del gobierno de EE. UU. Que enfrenta Lavabit, por eso Silent Circle cerró antes de que el gobierno lo contactara. Algunos servicios de menos principios optarán por cooperar con los gobiernos en lugar de cerrarlos. No sabemos exactamente a qué se enfrenta Lavabit, ya que tienen prohibido revelar todo lo que experimentaron como resultado de las órdenes de la puerta trasera de la corte secreta de vigilancia de EE. UU. Que permite el PRISM y otros programas de vigilancia de la NSA. ¿Qué es el PRISM? Todo lo que necesitas saber ¿Qué es PRISM? Todo lo que necesita saber La Agencia de Seguridad Nacional de los EE. UU. Tiene acceso a los datos que almacena con proveedores de servicios de EE. UU. Como Google Microsoft, Yahoo y Facebook. También es probable que supervisen la mayor parte del tráfico que fluye a través del… Leer más .
Ahora, veamos por qué el correo electrónico es una mala elección para las comunicaciones seguras y cómo es un objetivo fácil para el espionaje del gobierno.
Los metadatos no se pueden cifrar y XKEYSCORE puede interceptarlos
Un correo electrónico no es realmente una sola pieza de datos. Se trata de varios datos: el cuerpo del mensaje, la línea del asunto, el campo Desde, los campos Hasta / CC / BCC y otros metadatos que incluyen la ubicación desde la que está enviando el correo electrónico..
Incluso si utiliza la mejor tecnología de cifrado de correo electrónico posible, solo puede cifrar el cuerpo del mensaje del correo electrónico. Cualquier persona que supervise la conexión que está utilizando puede ver el asunto del correo electrónico, con quién se está comunicando y desde dónde está enviando un correo electrónico. Bajo el programa XKEYSCORE que esencialmente le permite al gobierno de los EE. UU. Capturar la mayor parte del tráfico que fluye a través de Internet al interceptarlo en los grandes enrutadores de la red troncal y en las puertas de enlace, el gobierno puede crear una imagen de con quién se está comunicando comunicarse con ellos, desde dónde se comunican, y cuáles son las líneas de asunto de sus correos electrónicos, lo que les da una idea de lo que está hablando. Es posible que el hecho de que usted está cifrando el contenido de sus correos electrónicos sea sospechoso y lo apunte para una mayor y más profunda vigilancia de todo lo que hace..
El gobierno de los EE. UU. Recopiló los registros de correo electrónico de los EE. UU. A granel hasta 2011. Según la NSA, este programa se suspendió porque no era efectivo, pero aún están recopilando metadatos bajo XKEYSCORE, por lo que es probable que estén interceptando todos los metadatos del correo electrónico que puedan. poner sus manos en Obtendrán mucha información de usted incluso si cifra sus correos electrónicos.
Para obtener más información, lea sobre las cosas que puede aprender de un correo electrónico “encabezamiento”, o metadatos ¿Qué puede aprender de un encabezado de correo electrónico (metadatos)? ¿Qué se puede aprender de un encabezado de correo electrónico (metadatos)? ¿Alguna vez recibió un correo electrónico y realmente se preguntó de dónde venía? ¿Quien lo envió? ¿Cómo pudieron saber quién eres? Sorprendentemente, gran parte de esa información puede provenir de… Leer más .
Muchos “Seguro” Los proveedores de correo electrónico tienen las claves de cifrado para su comodidad
Encriptar y descifrar correos electrónicos es complicado. En teoría, usaría algo como PGP o GPG en su computadora local para descifrar correos electrónicos Cómo enviar correos electrónicos firmados y cifrados con Evolution [Linux] Cómo enviar correos electrónicos firmados y cifrados con Evolution [Linux] En el mundo tecnológico de hoy, el envío cifrado Los mensajes entre personas se han convertido en un estándar cada vez mayor. Para proteger sus comunicaciones por correo electrónico, debe firmar y / o cifrar sus correos electrónicos. En Linux, esto es fácil ... Leer más. En la práctica, la configuración puede ser complicada y confusa, incluso para los usuarios más expertos en tecnología. Esto también hace que sea imposible acceder a los correos electrónicos cifrados a través de un navegador o un cliente móvil ligero.
En la práctica, muchos proveedores de correo electrónico seguro lo han solucionado manteniendo las claves de cifrado al final, descifrando los correos electrónicos cuando accedes a ellos. Así es como funcionaba el servicio de correo electrónico seguro de Silent Circle: tenían las claves de cifrado para poder descifrar fácilmente los correos electrónicos y ofrecer una buena experiencia de usuario. En la práctica, esto significa que el gobierno podría exigir todas las claves de cifrado, o solo las que necesitaban, y descifrar todos los correos electrónicos que quisieran. Si el proveedor tiene las llaves, podría entregarlas. La única forma de cifrar y descifrar de forma segura los cuerpos de correo electrónico es con un software de escritorio complicado. Incluso todo este esfuerzo deja a los metadatos expuestos..
El gobierno puede exigir puertas traseras: ver Hushmail
Hushmail, con sede en Canadá, es uno de los servicios de correo electrónico cifrado más populares y conocidos. En 2007, los tribunales canadienses obligaron a Hushmail a entregar los correos electrónicos de uno de sus usuarios. Luego, los correos electrónicos se pasaron a los tribunales de los Estados Unidos en virtud de un tratado de asistencia legal mutua entre Canadá y los Estados Unidos..
Hushmail teóricamente no podía hacer esto. No mantuvieron las claves de cifrado de los usuarios en sus servidores. Recomendaron a los usuarios usar PGP o software similar para descifrar los correos electrónicos en sus computadoras para obtener la máxima privacidad. Sin embargo, muchas personas pensaron que esto era demasiado inconveniente, por lo que Hushmail también ofrecía un applet de Java descargable ubicado en una página web que le permitía acceder a su correo electrónico. Cuando accedió a la página web, la última versión del applet de Java se descargaría a su computadora, ingresaría su clave de encriptación y el applet descargaría y desencriptaría su correo electrónico localmente sin que Hushmail obtuviera acceso a su clave de encriptación..
Hushmail se vio obligado a ofrecer una versión de Java. ¿Es Java inseguro y debería deshabilitarlo? ¿Es Java inseguro y debería desactivarlo? El complemento Java de Oracle se ha vuelto cada vez menos común en la Web, pero se ha vuelto cada vez más común en las noticias. Si Java está permitiendo que más de 600,000 Mac se infecten o Oracle es ... Leer más applet con una puerta trasera integrada para el usuario en cuestión. El applet de Java modificado envió la clave de cifrado del usuario a Hushmail después de que se ingresó y Hushmail obtuvo acceso a los correos electrónicos del usuario, que entregaron a los tribunales..
Si utiliza un correo electrónico seguro, el proveedor puede verse obligado a adquirir su clave de cualquier manera posible. Incluso si no pudieran acceder a su clave, el proveedor podría entregar sus correos electrónicos cifrados ellos mismos, lo que mostraría al gobierno con quién se está comunicando, cuándo y sobre qué (a través de la línea de asunto del correo electrónico).
Los mensajes de correo electrónico se almacenan en un servidor, los mensajes instantáneos no se almacenan
Incluso si el gobierno no puede obtener o interceptar la clave de cifrado, pueden descifrar sus correos electrónicos de todos modos. Sus mensajes de correo electrónico cifrados se almacenan en un servidor, así es como funciona el correo electrónico. Si el gobierno exigiera estos datos, el proveedor de alojamiento tendría que entregarlos en forma cifrada. El gobierno podría entonces intentar romper la encriptación: el nuevo hardware regularmente hace que los mecanismos actuales de encriptación sean mucho más débiles, y el gobierno de los EE. UU. Puede estar almacenando dichas comunicaciones encriptadas con la esperanza de romperlas en el futuro.
En contraste, las comunicaciones al estilo de mensajes instantáneos son más difíciles de archivar. Un mensaje cifrado puede enviarse directamente al destinatario y no almacenarse en un servidor al que se pueda acceder en el futuro. El gobierno tendría que instalar un dispositivo de monitoreo y capturar todas las comunicaciones en tiempo real. Si no lo hicieran y no tuvieran todos los datos cifrados, no podrían obtenerlos años después, pero a menudo pueden hacerlo con el correo electrónico..
Otros tipos de comunicación pueden ser asegurados
El correo electrónico simplemente no fue diseñado con el cifrado en mente. Se atornilló después del hecho, y se nota. Incluso los usuarios del servicio de correo electrónico más cuidadoso no pueden ocultar con quién se están comunicando y cuándo. Si realmente desea evitar la vigilancia del gobierno, es mejor que utilice diferentes servicios de mensajería segura en lugar de confiar en el correo electrónico..
Es por eso que Silent Circle aún ofrece un servicio de mensajería seguro 3 maneras de hacer que sus comunicaciones de teléfonos inteligentes sean más seguras 3 formas de hacer que sus comunicaciones de teléfonos inteligentes sean más seguras ¡Privacidad total! O eso creemos, ya que nuestras palabras e información fueron volando por el aire. No es así: primero es palabra de escuchas telefónicas sin orden judicial, luego es palabra de periódicos, abogados, aseguradores y más pirateando ... Lea más que confían en la seguridad de. Tampoco es la única opción, Cryptocat es otra. Cryptocat tuvo una vulnerabilidad recientemente publicitada y otros servicios pueden tener sus propios problemas de los que hablaremos en el futuro, pero estos servicios van por el camino correcto. No son fundamentalmente inseguros por el diseño como lo hace el correo electrónico..
Por supuesto, el correo electrónico encriptado no es necesariamente inútil. Por ejemplo, si desea asegurar comunicaciones comerciales importantes contra escuchas ilegales, puede ser útil. Pero el correo electrónico cifrado no va a frenar mucho al gobierno, no es la herramienta de comunicación ideal cuando intenta hablar sin la audiencia de la NSA.
¿Estás de acuerdo con los principios detrás del cierre de Lavabit y Silent Circle? ¿Utiliza un servicio de mensajería seguro para comunicarse sin que sus conversaciones se almacenen en una base de datos masiva del gobierno? Deja un comentario y dinos qué alternativa de correo electrónico prefieres.
Créditos de imagen: detector de metales a través de Shutterstock
Obtenga más información sobre: Consejos para correo electrónico, Cifrado, Privacidad en línea, Seguridad en línea, Vigilancia.