El equipo de Yahoo mail ha realizado un estudio alrededor de todo el mundo en el que miden el tipo de cifrado utilizado y el despliegue del protocolo STARTTLS en el SMTP. Este protocolo STARTTLS es el más utilizado por los servidores SMTP desde hace años, pero ha parado su crecimiento en los últimos tiempos. El aspecto más importante es el uso de buenas suites de cifrado así como certificados válidos, para proporcionar la máxima seguridad posible y proteger la privacidad de los usuarios.
El protocolo SMTP
El protocolo SMTP (Simple Mail Transfer Protocol) es el encargado de enviar y recibir los correos electrónicos desde un origen hasta un destino. También se encarga de reenviar los correos entre diferentes compañías, por lo que es ampliamente utilizado en todas las comunicaciones por e-mail. Este protocolo SMTP no requiere cifrado por defecto, se pueden enviar los correos electrónicos en claro, pero desde hace años se utiliza una extensión del protocolo llamado STARTTLS que permite cifrar los mensajes en tránsito. Lamentablemente no todos los proveedores usan este protocolo, por lo que al pasar por sus redes, los mensajes pueden ser leídos fácilmente si un ciberdelincuente se mantiene a la escucha. A continuación podéis ver un sencillo esquema de cómo funciona SMTP en los proveedores de servicio. Os recomendamos leer nuestro completo tutorial sobre seguridad email MTA-STS y SMTP TLS.
¿Qué es STARTTLS y por qué es tan importante para el correo electrónico?
STARTTLS es una extensión que nos permite cifrar las comunicaciones entre el cliente y el servidor, de tal forma que aunque se use el protocolo SMTP que por defecto no usa cifrado, todos los mensajes enviados y recibidos usando STARTTLS estarán cifrados. Cuando el servidor permite utilizar STARTTLS, se lo comunica al cliente y el cliente le responde para iniciar una sesión TLS y posteriormente intercambiar los correos electrónicos, que ya estarán cifrados en tránsito.
STARTTLS ofrece protección frente a ataques pasivos, en los que se captura toda la información, pero no es efectivo contra ataques activos (Man In The Middle) porque en el intercambio de mensajes se puede forzar a que no se use TLS, y por tanto, enviaremos la información en texto plano. Otro ataque es realizar un ataque de suplantación de DNS MX, por lo que se podrían redirigir los correos a un servidor de correo del atacante. Para evitar esto se deben utilizar certificados de autenticación entre los servidores, para verificar que no están «hablando» con un servidor ilegítimo.
El estudio de Yahoo del estado de STARTTLS
Según el estudio de Yahoo, alrededor del 80% de servidores utilizan STARTTLS para cifrar sus comunicaciones, lo han comparado con un estudio del año pasado y han visto que no ha habido un crecimiento significativo en su adopción. Respecto a la longitud de la clave pública de RSA o ECDSA usada por el servidor, han comprobado que aún la mayoría de servidores tienen una longitud de clave no segura (RSA 2048 bits), e incluso un 14% aún utilizan claves RSA de 1024 bits. Respecto al algoritmo de firma, el más utilizado es SHA-1 y actualmente se considera inseguro, hay muy pocos servidores que soportan SHA-256 que es actualmente el que se debería usar siempre. La versión de TLS que se utiliza en la gran mayoría de servidores es TLS 1.2 que actualmente es considerado el más seguro.
Os recomendamos acceder al estudio completo (en inglés) en el Tumblr oficial de Yahoo, ahí encontraréis toda la información y también recomendaciones de seguridad que deberían llevar a cabo todos los proveedores de correo electrónico para que el tránsito de sus emails se realice de la forma más segura posible.