23 mar. 2016

SMTP STS, nuevo protocolo seguro para email

Desde 1982 SMTP ha sido uno de los protocolos más utilizados por los usuarios de Internet y seguro que has oído hablar al menos una vez de él. Se trata del artífice de que hoy en día existan los servicios de correo y las grandes empresas del sector creen que es el momento de “jubilar” este y crear un nuevo protocolo que garantice la seguridad de los datos de los usuarios.

Aunque parezca complicado, este proyecto a unido a grandes empresas del sector, como lo son Microsoft, Yahoo! o Google, contando además con la colaboración de Comcast o la propia LinkedIn. Fueron los tramas de espionaje y el acecho constante de los ciberdelincuente lo que provocó la utilización de STARTTLS junto con este protocolo. Se pensó que esto sería suficiente para crear un canal cifrado para el envío seguro de los mensajes, algo que desafortunadamente no fue así, sobre todo por la existencia de errores de diseño.

Por este motivo, las empresas mencionadas con anterioridad se entran desarrollando el conocido como SMTP STS (del inglés Strict Transport Protocol). Seguro que muchos al leer esto se les viene a la cabeza HSTS. La verdad es que esta última versión del protocolo de cifrado de correos electrónicos es una extensión, de la misma forma que HSTS lo es de HTTPS. Para ello han publicado en Internet un documento de 19 páginas en el que abogan por la implantación de un sistema de Certificate Pinning similar al que se utiliza en la web, reduciendo las posibilidades de los ataques de downgrade que se pueden hacer al protocolo SMTP con las cabeceras STARTTLS.

Es bastante habitual que hablemos de degradaciones en el protocolo SSL/TLS, permitiendo la realización de ataques MitM con el consiguiente robo de datos. Los expertos y responsables de estas compañías buscan un extra de confidencialidad a los contenidos de los mensajes y mejorar las comunicaciones entre los extremos, evitando que bajo ningún concepto se pueda suplantar la identidad del servidor y que el usuario se comunique con un extremo no legítimo.

Esto supone que los servidores utilizados en la actualidad se puedan validar de forma mutua y tomar decisiones de seguridad adecuadas para cada situación, como por ejemplo, qué cifrado es el soportado y qué acción tomar en el caso de que exista un problema de seguridad.

Contar con el apoyo de empresas tan conocidas como Google, Microsoft o Yahoo! ayudará a crear un estándar y que este se encuentre disponible en un plazo corto de tiempo. Sin ir más lejos, los responsables de alguna de las empresas que participan creen que antes de finales de verano estará disponible, permitiendo realizar las implementaciones en los servicios a partir de ese mismo momento.

Fuente: RedesZone | Softpedia

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!