Seguretat de correu electrònic: una guia per mantenir la vostra safata d’entrada segura el 2020

Com a forma de comunicació de confiança en què sovint es comparteix informació personal, el correu electrònic és un objectiu principal per als atacants i els interceptadors. Els bancs, els llocs de xarxes socials i els hospitals es comuniquen per correu electrònic i poden ser difícils de detectar el que és legítim i el que és una estafa. En aquesta guia per a la seguretat del correu electrònic, anirem per sobre de les amenaces a les que us enfrontau mentre feu servir el correu electrònic.


Parlarem de les estafes que hi ha a la vostra safata d’entrada, així com de les vulnerabilitats potencials durant l’enviament de fitxers. També cobrirem els diferents tipus de xifratge que podeu utilitzar als vostres correus electrònics i alguns consells addicionals per mantenir-vos protegits. Si sou un tipus més personal, consulteu la nostra guia sobre com xifrar correus electrònics.

La bona notícia és que la majoria de clients de correu electrònic basats en la web xifren els vostres missatges i també fan un bon treball de filtratge de correu brossa. Tot i això, encara no és el mètode de comunicació més segur, cosa que pot suposar que haureu de passar a una altra aplicació si la seguretat és el vostre focus..

Abans de fer suggeriments, mirem les cares de correu electrònic de les amenaces.

Amenaces de correu electrònic

Hi ha dues categories principals per a la seguretat del correu electrònic: protecció contra atacs i protecció contra la intercepció. Primer, parlarem de les amenaces a la safata d’entrada i de com podeu evitar ser víctima de fraus i fraus. A continuació, passarem a com assegurar els missatges en trànsit de manera que cap informació sensible no caigui en les mans equivocades.

Amenaçes d’entrada

El primer lot d’amenaces té per objectiu la vostra safata d’entrada. No són específics del correu electrònic; un atacant podria utilitzar qualsevol mitjà de comunicació. Tot i així, el correu electrònic és un objectiu important per a esquemes de pesca, fraus i molt més.

La majoria d’aplicacions de correu electrònic modernes, com ara Gmail, fan un bon treball per protegir-vos d’aquests esquemes. És important respectar la carpeta de correu brossa que té la vostra aplicació de correu electrònic, ja que les regles aplicades al correu brossa són cada cop més fortes.

Amenaçes d'entrada

Els correus electrònics de phishing constitueixen una gran part de correus electrònics filtrats a correu brossa. La suplantació de phishing és una mena de comunicació fraudulenta (en aquest cas per correu electrònic) que us demana que proporcioneu informació personal, com ara el vostre número de compte bancari i informació d’encaminament.

Com podeu llegir a la nostra guia de phishing, la majoria d’aquestes amenaces són fàcils de detectar, i el vostre filtre de correu brossa fa una bona feina per desfer-se d’elles. Tanmateix, hi ha esquemes més elaborats que poden superar el filtre de correu brossa i traçar la informació del vostre compte.

El 2017 es va produir un gran atac de phishing dirigit als usuaris de Gmail. Els usuaris rebrien un correu electrònic dient que algú que coneixen va compartir un document de Google amb ells. Si feu clic a l’enllaç us portarà a una pàgina on escolliu el compte de Google per visualitzar el document, com és normal per a aquest procés.

Tanmateix, un cop heu intentat iniciar la sessió, hi ha hagut un procés de verificació que ha preguntat si “Google Docs” podia accedir a la informació del vostre compte. Aquesta, naturalment, no era la legítima aplicació, sinó una que es creava per semblar-ho. En fer clic, es va permetre als atacants accedir a la informació personal associada a un compte de Google.

Les amenaces basades en safata d’entrada són mecanismes d’entrega d’altres activitats fraudulentes, com ara instal·lar programari maliciós a la vostra màquina o robar les credencials del compte. Aquestes amenaces poden dirigir-se a les masses, però també hi ha esquemes de pesca contra la pesca, la majoria dels quals són conseqüència de l’home en atac central..

Amenaces de trànsit

Un home en atac mig (MitM) és una forma d’escapar-se en la qual un tercer espia informació que passa entre dues parts. El nom ho explica tot; hi ha algú enmig de la vostra comunicació, robant el que passa.

Els atacs MitM poden provocar la pesca contra la llança, que és una forma específica de l’esquema descrit anteriorment. Un atacant pot espiar una comunicació i utilitzar comptes falsos per aparèixer com si fossin un contacte de l’usuari objectiu.

Per exemple, un atacant podria espiar el trànsit de xarxa d’un CEO. L’atacant podria falsificar un correu electrònic per semblar similar al que esperava el director general, que, per descomptat, seria fraudulent. El CEO fa clic, es roben les credencials i l’atacant n’ofereix algunes dades importants.

Hi ha dues formes d’atacs de MitM. El tradicional “home al centre” és on un atacant estableix la seva màquina com a servidor intermediari entre la vostra connexió. Si envies un correu electrònic a algú, primer passaria per la màquina de l’atacant.

Amenaces de trànsit

Aquest tipus d’atac requereix la proximitat amb la víctima. Algú de l’altre costat del món no va poder agafar la vostra connexió a Internet i supervisar el que hi passa. Això es deu als atacs de MitM que confien en una feble seguretat en els routers per espiar una xarxa. Aquesta és una de les raons per les quals hi ha tant perill a l’ús de la WiFi pública.

Els atacants escanegen el router per detectar qualsevol vulnerabilitat que tingui, i després utilitzen eines per interceptar i llegir les dades transmeses. En alguns casos, això vol dir que es poden deixar correus electrònics a mesura que s’envien i, en d’altres, vol dir redirigir la víctima a llocs web maliciosos.

Hi ha un segon formulari anomenat home al navegador (MitB), que fa servir programari maliciós carregat a l’ordinador dels usuaris per comprometre la informació del compte o de la informació financera. En el cas del correu electrònic, podeu contractar aquest programari maliciós mitjançant intents de pesca.

Tipus de xifrat de correu electrònic

Una forma de protegir els correus electrònics és mitjançant el xifrat. Vegem els tipus més importants.

Xifrat de capes de transport

El protocol de xifrat de correu electrònic més comú és STARTTLS que, com els tres últims caràcters impliquen, és el xifratge que es produeix a la capa de transport. Si tant l’emissor com el destinatari utilitzen aplicacions que admeten la comunicació xifrada, un espionet no pot utilitzar un sniffer (una eina que s’utilitza per a la detecció de missatges MitM) per espiar la comunicació..

STARTTLS és el protocol de xifratge més comú utilitzat per al correu electrònic. A l’octubre de 2018, el 92 per cent de tots els correus electrònics entrants a Gmail es xifraran utilitzant-lo.

Malauradament, el suport per a un protocol determinat no significa una connexió xifrada. En alguns casos, les dues parts no poden verificar-se els certificats els uns dels altres, la qual cosa faria que la connexió xifrada fallés. Tanmateix, la majoria de correus electrònics lliurats a través de TLS utilitzen xifrat oportunista, és a dir, revertirà al text en lloc de no fer-ho.

La verificació del certificat obligatori tampoc és ideal per al correu electrònic, ja que és probable que la verificació falli i, per tant, el correu electrònic no s’enviï. Això vol dir que alguns correus electrònics s’enviarien sense cap problema, d’altres es farien diversos intents i d’altres no s’ho enviarien en absolut.

Aquest tipus de xifratge es produeix a la capa de transport, cosa que significa que els usuaris no necessiten fer res per xifrar o desxifrar la comunicació. És el mateix tipus de xifratge que succeeix quan aterreu en un lloc amb certificació SSL / TLS. Podeu obtenir més informació sobre això a la nostra guia SSL vs. TLS.

També significa que el destinatari pot escanejar o filtrar el missatge abans del lliurament.

Hi ha algunes conseqüències per a aquesta forma de xifrat. Com que el xifratge es produeix entre relleus SMTP individuals, es pot veure i modificar el missatge mentre es troba en trànsit. Tothom que tingui accés a, per exemple, el sistema de correu electrònic d’una empresa podria llegir i modificar el correu electrònic abans del seu lliurament, aconseguint la necessitat de xifrar de punta a punta..

Xifrat de punta a punta

Mentre que el xifratge TLS es produeix a la capa de transport, el xifrat extrem a extrem només es produeix als extrems d’una comunicació. El missatge de l’emissor es xifra abans de ser enviat i només es desxifrà un cop s’ha enviat. El xifratge de punt de final significa que ningú pot llegir o modificar el missatge mentre es troba en trànsit.

OpenPGP és un estàndard de xifrat de dades que proporciona als usuaris finals la possibilitat de xifrar el contingut de correu electrònic. Utilitza parells de claus públiques / privades, és a dir, l’emissor xifra el missatge mitjançant la clau pública del destinatari abans d’enviar-lo. Podeu obtenir més informació sobre aquest tipus de xifrat a la nostra descripció de la guia de xifratge.

Com passa amb qualsevol mètode de trànsit més segur, hi ha problemes amb el xifratge de punta a punta. En el cas d’OpenPGP, és la parella de claus pública / privada. Tot i que es considera una forma de xifrat més segura, vol dir que qualsevol persona que vulgui enviar-vos un correu electrònic hauria de conèixer la vostra clau pública..

Hauríeu d’establir prèviament parelles de claus públiques / privades i compartir-les amb qui vulgui enviar-vos un missatge de correu electrònic. Per a la majoria dels usuaris domèstics, és un procés innecessari i molest que tindrà avantatges de seguretat insignificants.

El xifrat de punta a extrem és un mètode de seguretat centrat en el negoci. En establir els parells de claus amb els clients principals, un negoci pot assegurar que tota la comunicació estigui assegurada. Les comunicacions B2B també són avantatges sempre que el servidor receptor tingui accés a les claus de desencriptació.

Protecció del vostre correu electrònic

El xifrat es basa principalment en el proveïdor de correu electrònic que utilitzeu. La majoria de clients basats en navegadors, com ara Gmail, utilitzen TLS per enviar missatges, que haurien de ser suficients per a un individu. És possible que les empreses vulguin considerar el xifratge de punta a extrem, però la protecció amb TLS és un començament.

Podeu provar si el vostre servei de correu electrònic utilitza TLS mitjançant una eina com CheckTLS. Com podeu veure a continuació, vam provar Gmail i tot el resultat va ser positiu. Tots els correus electrònics enviats entre aquests servidors es xifren amb certificats vàlids.

Prova de Gmail

Contrasteu-ho amb els servidors de correu NSA, que xifren correus electrònics però utilitzen certificats obsolets.

NSA-Test

Si utilitzeu Gmail o G Suite, esteu cobert al front TLS i no haureu de configurar cap configuració. Si rebeu correu electrònic dels millors proveïdors d’allotjament web, sovint podeu configurar el vostre xifratge a la configuració de correu electrònic. Es troba a cPanel, una excel·lent interfície d’allotjament web que apareix al nostre millor allotjament web amb guia cPanel.

Filtres personalitzats

També podeu configurar filtres personalitzats en la majoria d’aplicacions de correu electrònic que funcionaran juntament amb els filtres de correu brossa. Gmail és ocupada per la gran majoria d’usuaris, de manera que us dirigirem a la configuració de filtres personalitzats.

Des de la pàgina de Gmail, feu clic a la icona de l’engranatge a la cantonada dreta i, a continuació, seleccioneu “Configuració”.

Configuració de Gmail

Un cop a la configuració, feu clic a “filtres i adreces bloquejades” al menú superior.

Pàgina de configuració de Gmail

En aquesta pàgina, podeu importar filtres d’altres clients o crear-ne de nous. Per exemple, en crearem un de nou fent clic a “crear un filtre nou” al mig de la pantalla.

Configuració de filtre de Gmail

S’obrirà una finestra amb una llista de paràmetres. Podeu filtrar missatges d’una adreça, correus electrònics que contenen certes paraules, correus electrònics d’una mida especificada i molt més. Per aquest exemple, filtrem correus electrònics que contenen la paraula “gos”.  

Gmail-Crear-Filtre

Ara, feu clic a “crea filtre”. Google obtindrà resultats de tots els correus electrònics que coincideixin amb la configuració del filtre, juntament amb una altra caixa de configuració. Aquí podeu definir com reacciona el filtre als correus electrònics que compleixen els vostres criteris. En aquest exemple, escollirem protagonitzar tots els correus electrònics que continguin la paraula “gos”.

Gmail-Filter-Destination

Feu clic a “crea filtre” i sereu retornats a la pàgina de configuració del filtre. Podeu utilitzar filtres per netejar i categoritzar la vostra safata d’entrada, però també per llistar certes adreces de correu electrònic o seleccionar missatges irrellevants..

Altres proteccions per correu electrònic

Podeu configurar diferents formes de xifratge per augmentar la vostra seguretat. Si sou propietari d’empresa, és probable que el xifratge de punta a punt sigui el millor que us proposi, especialment si transmeteu informació sensible. Per als usuaris domèstics, hi ha algunes coses que podeu fer, a més de buidar la vostra carpeta de correu brossa.

Utilitzeu un gestor de contrasenyes

Els clients de correu electrònic en línia són objectius principals per a incompliments de dades. Yahoo va informar el 2017 que en algun lloc dels voltants de tres mil milions de comptes d’usuaris estaven compromesos per correu electrònic, Tumblr i Flickr.

Es van robar moltes contrasenyes que utilitzen l’algorisme d’anticipament MD5 obsolet. Si els atacants utilitzessin un atac de diccionari o alguna altra forma de força bruta, aquests hashes es podrien traduir en contrasenyes de text complet..

No aprofundirem en com passa això, podeu llegir la nostra guia de xifrat, enllaçada anteriorment, per obtenir més informació. Bàsicament, un atac de força bruta es basa en contrasenyes febles per tenir èxit. Endevinant les contrasenyes del candidat, un atacant pot utilitzar programari per combinar un hash en particular a les contrasenyes del candidat, exposant les dades.

Jeremi Gosney, director general de Sagitta HPC, va dir a Ars Technica que “qualsevol [contrasenya] amb fins i tot un toc de complexitat és bastant segur”, però. Sempre que els usuaris hagin configurat una contrasenya forta al seu compte, és poc probable que es produeixi un atac de força bruta als hashes.

Un gestor de contrasenyes us ajuda a fer-ho. En generar contrasenyes contundents i úniques per a cadascun dels vostres comptes en línia, podeu augmentar la vostra seguretat de forma exponencial. Com que els atacs de força bruta es basen en la generació de contrasenyes de candidats, és probable que aparegui un grup aleatori de lletres, números i caràcters especials..

També es produeix el problema d’utilitzar la mateixa contrasenya als vostres comptes. Proveïdors com Dashlane us proporcionen un tauler de seguretat on podeu supervisar les contrasenyes febles o redundants. També us notificarà qualsevol incompliment de dades, tal com podeu llegir a la nostra revisió Dashlane.

Els gestors de contrasenyes són una de les maneres més pràctiques de protegir-vos dels perills de la ciberdelinqüència. Podeu llegir la nostra millor guia de gestor de contrasenyes o ressenyes de l’administrador de contrasenyes per obtenir recomanacions, però us la farem saber que ens agrada el Dashlane i el 1Password més..

Podeu veure com aquests dos s’apilen els uns contra els altres en la nostra comparació Dashlane vs. 1Password.

Instal·leu un Antivirus

protecció per correu electrònic

Ara que el vostre compte s’ha protegit contra incompliments de dades, heu de protegir-vos contra els esquemes de phishing. Per a coses que no siguin del sentit comú i el filtre de correu brossa del vostre client, un antivirus us pot protegir.

Els antivirus ataquen les amenaces de correu electrònic des d’alguns angles. El primer és la protecció contra el phishing. Bitdefender, per exemple, explorarà activament les pàgines web on us adjunteu per obtenir possibles intents de phishing. Primer, buscarà a l’URL una coincidència a la llista negra de phishing. Si el lloc no es troba a la llista negra, es considera aprovat.

Tanmateix, això no protegeix contra el nou atac de pàgines de phishing que apareixen diàriament. La protecció contra la pesca no contempla el text, la plantilla de disseny i molt més, i després compararà el que s’han trobat amb altres llocs de pesca. Com que l’estructura d’una pàgina de pesca no té signes indicatius, enviant específicament la informació a l’atacant, normalment es pot retallar.

A la nostra revisió de Bitdefender, podeu obtenir més informació sobre els resultats de la protecció contra la protecció contra el phishing de Bitdefender.

Els atacs MitM es poden detectar mitjançant un analitzador de xarxa, com el que ofereix Avast. Aquesta eina analitzarà la vostra xarxa i tots els dispositius connectats a ella, així com es detallarà qualsevol vulnerabilitat que tingui la xarxa.

Amb aquesta àmplia visió general, també podeu veure qualsevol dispositiu sospitós connectat a la vostra xarxa. No és una solució de protecció perfecta, però és una bona revisió del sanejament, tal i com podeu llegir a la nostra revisió Avast Pro.

Gran part del millor programari antivirus té alternatives comercials, moltes de les quals també tenen protecció del servidor de correu electrònic. Kaspersky, per exemple, té una excel·lent seguretat per als servidors de correu. Podeu obtenir més informació sobre els seus productes de consum a la nostra revisió de Kaspersky Anti-Virus.

Utilitzeu una aplicació de missatgeria xifrada

El problema del xifrat de correu electrònic és que esteu obligats a triar. Per a la majoria dels usuaris, la configuració de xifratge de punta no és factible, ja que caldria que tots els vostres contactes també configurin el xifrat. Si no us conformeu amb el xifrat TLS, potser voldreu tallar la comunicació per correu electrònic i fer servir una aplicació de missatgeria segura..

Les aplicacions de missatgeria privada tracten el mal de cap del xifrat extrem a extrem, proporcionant-vos un servei tan fàcil d’utilitzar com enviar un missatge de text o un correu electrònic. Moltes aplicacions també inclouen trucades de veu xifrades, temporitzadors d’autodestrucció i galeries de suports privats.

Keeper, un dels nostres gestors de contrasenyes preferits, inclou KeeperChat amb subscripcions. KeeperChat és una aplicació de missatgeria segura que inclou un temporitzador d’autodestrucció, retracció de missatges i molt més, tal com podeu conèixer a la nostra revisió de Keeper.

Altres aplicacions, com el Senyal Missatger privat, inclouen aplicacions iOS i Android, així com interfícies basades en navegadors. El senyal també té l’avantatge de ser de codi obert, de manera que podeu trobar qualsevol vulnerabilitat que tingui buscant el codi o cercant en línia.

Tot i que no és una solució perfecta, les aplicacions de missatgeria xifrada són la millor aposta per obtenir informació altament sensible fins que el xifratge de punta a extrem s’utilitzi més. El problema inherent al extrem a extrem és que cal tenir-ne els dos extrems. Les aplicacions de missatgeria xifrada tracten aquest problema i proporcionen una forma segura d’enviar informació.

Pensaments finals

La seguretat del correu electrònic per als usuaris domèstics és tan bona com ho serà de moment. La majoria dels clients basats en web utilitzen TLS per xifrar els missatges, cosa que, malauradament, té alguns inconvenients. El xifrat de punta a extrem és un mètode de comunicació molt més segur, però també és difícil configurar-lo per a un sol usuari.

Les empreses, d’altra banda, poden ser capaços d’utilitzar el xifratge de punta a extrem d’una manera significativa. Si simplement voleu protegir la vostra safata d’entrada personal, és bo instal·lar un antivirus, utilitzeu un gestor de contrasenyes i registreu-vos per a un servei de correu electrònic anònim, com TorGuard (consulteu la nostra crítica de TorGuard).

Com segureu els vostres correus? Feu-nos-ho saber als comentaris a continuació i, com sempre, gràcies per llegir.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me