¿Te ha gustado el artículo?
0
¿Te ha gustado el artículo?
0

PGP o cómo mejorar la privacidad de tu correo electrónico

Hoy en día, gran parte de la comunicación en Internet se lleva a cabo a través de la difusión de mensajes en las redes sociales y en los servicios de mensajería instantánea, sin olvidar que el correo electrónico también forma parte de la comunicación interactiva. Sobre todo cuando se trata de la transmisión de información confidencial como contratos, datos bancarios, etc., el correo electrónico es el medio más utilizado, e incluso muchas empresas hacen de este servicio su medio de comunicación interno. Por ello, lo que interesa es proteger la información sensible e impedir que se lea el contenido de los correos enviados. Los criminales que quieren acceder a los datos privados de los usuarios o los servicios secretos que buscan información se benefician de los mensajes que se envían sin codificar. El cifrado de la información se convierte, de esta manera, en un proceso necesario para evitar que personas no autorizadas puedan leer correos electrónicos ajenos.

Protocolo PGP: protege tu privacidad mediante el uso de claves

El protocolo PGP ofrece la posibilidad de proteger y cifrar la información transmitida a través del correo electrónico. PGP son las siglas en inglés de Pretty Good Privacy, o lo que en español podría definirse como “privacidad bastante buen” y originariamente se usó para denominar un programa desarrollado por Phil Zimmermann en 1991 y que a lo largo de los años se ha generalizdo para describir el método de encriptado que utiliza este software.

Su funcionamiento se basa en la asignación de un par de claves: una privada y otra pública. La clave pública se pone a disposición de los contactos de correo potenciales bien comunicándosela o cargándola en un key server externo. Con esta clave estos contactos pueden cifrar los mensajes electrónicos que quieran enviarte. La clave privada, en cambio, es de tu propiedad y está protegida por una contraseña. Con ella podrás descifrar los correos electrónicos entrantes previamente cifrados con la clave pública. Para establecer una comunicación segura siguiendo este proceso, será necesario que tu interlocutor también haga uso del protocolo PGP y te informe acerca de su clave pública. El sistema de cifrado de clave pública también es entendido como sistema de cifrado asimétrico, ya que ambos interlocutores usan una clave diferente. Con ayuda de la firma electrónica se garantiza, de manera adicional, la autenticidad de los mensajes que se envían.

¿Es el cifrado PGP solo para expertos?

Utilizar el cifrado PGP para proteger la comunicación mediante correo electrónico es, a simple vista, una tarea compleja. Lo primero que hay que hacer es conseguir una versión gratuita de PGP e instalar el software. Durante la instalación se generarán automáticamente las dos claves, pero el resto de tareas son responsabilidad del usuario: la clave privada se archivará en el sistema y la clave pública se importará a un servidor externo, por ejemplo al propio servidor web, o se le enviará por correo a sus contactos. A pesar de todo, esto no es suficiente, pues los contactos implicados en el proceso también tienen que hacer uso del software de cifrado PGP para poder recibir su propia clave pública. Comprobar la fiabilidad de las claves recibidas y gestionar el uso de la propia clave es responsabilidad propia, pero es recomendable ir sobre seguro y optar por el cifrado PGP para proteger el correo electrónico.

La cantidad de pasos necesarios para llevar a cabo la configuración ha hecho que solo unos pocos usuarios instruidos en la materia se hayan decidido a usar dicho software. Sin embargo, para que un mayor número de personas pueda dotar de seguridad a sus correos electrónicos, estas tienen a su disposición algunos plugins como OutlookPrivacyPlugin o Mailvelope, que se implementan en los clientes de correo electrónico y en el servidor y ayudan a los usuarios durante el proceso de configuración. Muchos servicios de correo electrónico hacen hincapié en el tema de la seguridad y permiten conectarse con los plugins para PGP y con asistentes de configuración intuitivos. Con ello, crear un sistema de cifrado mediante PGP para las cuentas personales de correo electrónico es, hoy en día, mucho más sencillo que hace años. Asimismo, el almacenamiento de las claves públicas en las bases de datos de los proveedores es un servicio de lo más habitual

Tutorial PGP: aprende a cifrar tus mensajes y tu comunicación

Actualmente, muchos proveedores de servicios de correo electrónico ofrecen packs que, por defecto, están preparados para la configuración de PGP y, por lo general, cuentan con sencillas instrucciones para facilitar el proceso. De no ser así, deberás ocuparte tú mismo de su implementación. A continuación, te presentamos un tutorial que se concentra específicamente en la configuración de este mecanismo de cifrado.

Paso 1: Seleccionar e instalar el software PGP adecuado

Uno de los pasos más importantes es la búsqueda de un software PGP que sea compatible tanto con el sistema operativo como con el cliente de correo electrónico utilizado. Para los defensores de Linux, la solución de código abierto GnuPG (GNU Privacy Guard) publicada en 1997 representa una buena opción. Este software funciona en casi todas las distribuciones Linux/GNU y permite el cifrado bajo el estándar OpenPGP con casi todos los programas de correo electrónico, incluyendo Evolution, Kmail o Thunderbird. La versión 1.4, ligeramente más antigua, está instalada por defecto en muchos sistemas. Si quieres descargar la versión más actual, puedes hacerlo visitando gnupg.org.

Allí, los usuarios de Windows o de sistemas operativos OS X también encontrarán archivos binarios con los que pueden instalar, ambos basados en GnuPG, el Gpg4win o el Mac GPG específico para sistemas Mac.

Paso 2: Crear un par de llaves propio

Una vez instalado el software PGP se procede a crear un par de claves. Para hacerlo en Linux es necesario implementar el parámetro correspondiente en la línea de comandos, que puedes consultar en el manual del programa utilizado. Para el mencionado GnuPG, por ejemplo, es el siguiente:

sudo gpg --gen-key

A continuación deberás seleccionar el tipo de cifrado, aunque solo has de desviarte de la configuración predeterminada (“RSA and DSA”) en caso de que cuentes con los conocimientos necesarios. Posteriormente, introduce la longitud de la clave en bits. Cuando más alto sea el valor, más segura es la clave y menor su velocidad de rendimiento. Los expertos en seguridad recomiendan utilizar claves RSA que tengan una longitud de 4096 bits. Seguidamente deberás especificar el periodo de validez de la clave, así como tu nombre y dirección de correo electrónico para los que debe ser válido el par de claves. Para finalizar es necesario confirmar la exactitud de la información y definir la frase de cifrado correspondiente; esta será indispensable más adelante para cifrar o descifrar mensajes electrónicos. 

La generación de claves en Windows o Mac OS X tiene lugar por medio de programas gráficos. Independientemente de la plataforma y del software PGP, es común que, en el marco de la generación de claves, se te solicite que teclees o muevas el cursor de tu ratón al azar.

Paso 3: Comparte la clave pública con tus contactos

Linux permite gestionar las claves desde el terminal o con la ayuda de programas gráficos como Seahorse (para Gnome/Unity) o KGpg (para KDE). Así, por ejemplo, el comando para la configuración de la clave privada del GnuPG utilizado en este tutorial es:

sudo gpg --list-secret-keys
sudo -K

Mientras que para la lista de todas las claves públicas generadas se utiliza:

sudo gpg --list-keys
sudo -K

La lista de las claves públicas no solo se puede ver, sino también exportar. Es por esto que se crea un archivo .asc que se puede enviar como archivo adjunto por correo electrónico a los contactos deseados, subir a un servidor de certificados o compartir utilizando un dispositivo USB. Así, cuando uno de tus contactos recibe tu clave pública y, además, cuenta con un programa de gestión de claves, te puede enviar mensajes cifrados para que seas tú, con tu clave privada y frase de cifrado, quién los descifre. Igualmente, si quieres enviar mensajes cifrados a este contacto, deberás activar tu clave pública.

Cifrado y descifrado PGP online

En lugar de utilizar programas que necesitan ser instalados en el sistema, los usuarios tienen a su disposición herramientas PGP online para crear claves o para cifrar y descifrar los mensajes recibidos. A continuación te presentamos dos ejemplos: el servicio web PGP Key Generator y la herramienta de cifrado online sela.   

PGP Key Generator

Esta herramienta web es principalmente un programa de código abierto basado en JavaScript que puede ser ejecutado en los navegadores web habituales y que facilita la creación de claves públicas y privadas. PGP Key Generator puede ser utilizado de forma gratuita y sin registro. El primer paso es entrar en el menú “Options” e introducir las especificaciones deseadas para cada clave: nombre, dirección de correo electrónico, algoritmo de encriptación deseado (RSA/ECC), longitud de la clave (hasta 4096 bits), periodo de validez (máximo ocho años) y contraseña. Un clic sobre “Generate Keys” inicia la generación de claves, proceso que puede requerir algún tiempo para completarse. Una vez finalizado el proceso verás la clave pública y la clave privada en una misma ventana. Si pulsas el botón de descarga podrás almacenarlas en formato .ascii.

Tanto la introducción de los datos como la generación de las claves tiene lugar del lado del cliente, es decir, en el navegador, por medio de una conexión TLS. En este caso, la herramienta utiliza un certificado TLS verificado a través de Amazon. Los responsables de este servicio de Internet no guardan ninguno de los datos proporcionados por el usuario, ni su correo electrónico, así como tampoco ninguna de las claves generadas por sus servidores (Amazon S3 y CloudFront). El único que registra este tipo de informaciones con fines que competen al análisis web es Google Analytics. Al igual que en todas las aplicaciones de JavaScript, es muy probable que algunos cibercriminales encuentren fallos de seguridad en PGP Key Generator, que les permitan atacar tu sistema y acceder a información y datos sensibles –p. ej. a tu clave privada o tu frase de cifrado.

sela: cifrado online sin complicaciones

El servicio online sela ofrece la posibilidad de cifrar y descifrar mensajes online. Para ello, todo lo que necesitas son las claves correspondientes y la frase de cifrado (para descifrar). Si quieres cifrar un mensaje, agrega la clave pública de tu contacto y el contenido del mensaje electrónico en los campos correspondientes, finalmente haz clic en “Encrypt Message”. A continuación, recibirás la huella digital de la clave pública y el mensaje de correo cifrado, que puedes simplemente copiar y pegar tú mismo.

Mailvelope: Cifrado PGP para servicios de correo electrónico

La extensión del navegador Mailvelope es la herramienta adecuada para quienes prefieren comunicarse utilizando servicios de correo como Gmail, Yahoo u Outlook. Este complemento está basado en OpenPGP.js, una implementación JavaScript del estándar OpenPGP, y está disponible tanto para Google Chrome como para Mozilla. En la página oficial de Mailvelope encontrarás los respectivos enlaces para su descarga. Una vez has instalado la extensión, el icono de Mailvelope aparecerá en la barra de herramientas del navegador, desde donde podrás acceder a la interfaz de usuario. Allí podrás crear, importar y administrar tus claves y las claves públicas de tus contactos, así como también cargarlas en un servidor de claves públicas. 

Una vez has instalado Mailvelope en tu navegador, este escanea tu buzón de correo electrónico para encontrar mensajes PGP. Así, en caso de que haya algún correo electrónico de este tipo, Mailvelope mostrará elementos específicos para su cifrado o descifrado. En las opciones puedes activar o desactivar el cifrado PHP para Gmail u Outlook, por mencionar algunos, para lo que solo tienes que seleccionar el servicio correspondiente de la lista de proveedores de correo soportados por la herramienta y regular su estado a través del interruptor de encendido o apagado. Por defecto, una vez instalado, Mailvelope se activa para todos los proveedores que aparecen en la lista.

Cómo utilizar claves PHP en Android

La utilización de PGP en Android demanda dos requisitos: un software de gestión de claves y un cliente de correo electrónico que soporte el cifrado. En este ámbito existen dos aplicaciones que han resultado ser particularmente útiles: el programa gratuito de correo electrónico Squeaky Mail y la aplicación de pago PGP KeyRing, que también está disponible como versión de prueba (limitada a una clave privada y dos públicas).

Lo primero que debes hacer es instalar Squeaky Mail y configurar, con ayuda del asistente, un buzón con tu dirección de correo electrónico. A continuación, puedes importar tu par de claves y compartir tu clave pública con tus interlocutores. Así, cuando tus contactos te envíen mensajes cifrados, Squeaky Mail solicitará que introduzcas tu frase de cifrado y solo te mostrará el contenido del correo una vez has introducido la información correcta. Es recomendable importar las claves públicas de tus contactos para que también puedas enviarles mensajes cifrados. De esta forma, cada vez que vayas a enviar un mensaje solo será necesario seleccionar la clave respectiva y activar la casilla de “Encrypt” (cifrar).

Contenidos cifrados vs. conexiones cifradas

Muchos usuarios piensan que ya intercambian correos electrónicos cifrados con sus contactos usando únicamente protocolos criptográficos como SSL y TSL, pero esto no es del todo cierto. A través del uso de dichos certificados solo se cifra el trayecto de transmisión de los mensajes electrónicos, lo que tiene el inconveniente de permitirle a terceros acceder a ellos y leerlos. Por otra parte, los certificados SSL y TSL posibilitan el cifrado de los componentes de correo electrónico que PGP no ha cifrado, como por ejemplo los datos sobre los remitentes, los destinatarios o la información integrada en el asunto. La solución ideal para proteger el correo electrónico sería, en la práctica, la combinación del cifrado mediante PGP y los protocolos SSL y TSL. Para obtener más información sobre la transmisión cifrada de datos, visita la guía sobre cómo mejorar la seguridad de tu correo electrónico.

SSL Protección de Datos