El único correo electrónico seguro es el que no tiene formato

Es preocupante saber que en cualquier momento puedes abrir un correo electrónico de tu jefe, de un familiar o de tu banco y que resulte ser un scam de phishing. Puede pasar que cualquiera de todos esos correos con aspecto inocente que recibes a diario sea en realidad de alguien que está intentando estafarte para hacerse con tus datos de acceso y darles el control de tus datos confidenciales o incluso de tu identidad.

La mayoría de la gente tiende a pensar que es culpa del usuario cuando cae en alguna estafa de phishing: simplemente ha hecho clic donde no debía y la solución es que la gente no haga clic donde no debe. Como expertos en seguridad y en las técnicas del malware, creemos que es una forma errónea de ver el problema.

El verdadero problema es que los sistemas de correo electrónico actuales están basados en código web y son campos de minas electrónicos llenos de solicitudes y tentaciones para hacer clic en varios sitios y ser partícipes de una experiencia online que nos incita a responder a todo y a ser más interactivos. No se trata solo de Gmail, Yahoo Mail y otros servicios similares: los programas de correo electrónico de escritorio como Outlook muestran los mensaje de la misma manera y no es segura.

En pocas palabras, un correo electrónico seguro es el correo electrónico de texto sin formato que solo muestra las palabras del texto tal como y como se reciben, sin incluir enlaces o imágenes. El email basado en web es cómodo para los anunciantes (y te permite escribir mensajes de correo electrónico estilizados y con una tipografía más bonita), pero lleva consigo riesgos innecesarios e incluso peligrosos porque una página web (o un correo electrónico) pueden mostrar fácilmente una cosa y en realidad estar haciendo otra.

Volver a los orígenes del correo electrónico y usar texto sin formato puede parecer una medida radical, pero es una opción mucho más segura. Incluso los expertos en seguridad del gobierno de Estados Unidos han llegado a la sorprendente, pero importante, conclusión de que toda persona, organización o gobierno al que le preocupe la seguridad en la web debería volver al correo electrónico de texto sin formato:

“Las organizaciones han de asegurarse de que la opción HTML está desactivada en los correos electrónicos, así como deshabilitar los enlaces. Todo debe usarse en texto sin formato para reducir la posibilidad de secuencias de comandos potencialmente peligrosas o de enlaces en el cuerpo del correo electrónico, así como la probabilidad de que un usuario haga clic en algún sitio sin pensarlo. Al usar texto sin formato el usuario tiene que teclear el enlace o copiarlo y pegarlo. Este paso adicional permite que el usuario se plantee y analice lo que está haciendo antes de hacer clic en un enlace”.

Falta de comprensión del problema

En los últimos años, los usuarios de correo web han recibido instrucciones severas para que presten atención a todos los matices de cada mensaje de correo electrónico. Se recomienda no abrir correos electrónicos de desconocidos o analizar un archivo adjunto antes de abrirlo. Existen organizaciones que pagan a compañías de seguridad para comprobar si sus empleados siguen el protocolo de seguridad, pero sigue habiendo casos de phising y es un problema cada vez más común.

Los medios de comunicación pueden hacer que el tema sea aún más confuso. Por ejemplo, el New York Times llegó a decir que el fallo de seguridad del Comité Nacional Demócrata había sido tanto “descarado” como “furtivo”, señalando varios posibles problemas (equipo de seguridad de red anticuado, hackers sofisticados, investigadores despreocupados y personal de asistencia desatento), todo ello antes de revelar que el punto débil era en realidad un usuario que estaba demasiado ocupado y que actuó “sin pensar mucho”.

Pero el verdadero problema del webmail (un error de seguridad de varios millones de dólares), fue la idea de que si los emails podían ser enviados o recibidos a través de una página web, estos podrían ser más que simple texto, e incluso ser páginas web en sí mismo mostrándose en un navegador. Esto es lo que realmente hizo que surgiera la industria del phishing criminal.

Diseñado para ser peligroso

Un navegador web es la herramienta perfecta para la inseguridad. Los navegadores han sido diseñados para mezclar sin mesura todo tipo de contenidos de varias fuentes (texto de un servidor, anuncios de otro, imágenes y vídeos de terceros, otro proveedor con botones de “me gusta”, etc). Una página web de hoy en día no es más que un amalgama de páginas de terceros que pueden llegar a ser decenas en una sola página. Para hacer que este conjunto de imágenes, enlaces y botones aparezca de forma unificada e integrada, el navegador no te muestra de dónde viene cada pieza de la página web o a dónde te lleva si haces clic.

Es peor aún, porque el navegador permite que las páginas web (y por ende los correos electrónicos) te mientan al respecto. Cuando escribes “google.com” en tu navegador, puedes estar bastante seguro de que te va a llevar a la página de Google. Sin embargo, si haces clic en un enlace o en un botón donde pone “Google” puede que no acabes en la página de Google. A no ser que te pongas a examinar detalladamente el código fuente HTML del email, el navegador tiene docenas de formas de manipularte para engañarte.

Un correo electrónico seguro es el correo electrónico de texto sin formato que solo muestra las palabras del texto tal como y como se reciben, sin incluir enlaces o imágenes

Esto es lo contrario a seguridad porque los usuarios no pueden predecir las consecuencias de sus acciones, ni decidir de antemano si pueden aceptar los posibles resultados. Un enlace perfectamente seguro puede estar al lado de uno malicioso y no haber diferencias entre los dos. Cuando un usuario se enfrenta a una página web y decide hacer clic en algún sitio, no hay una forma razonable de saber a ciencia cierta lo que va a pasar o con qué otra compañía o servicios de terceros va a interacturar al hacer clic.

Los navegadores están diseñados para esconder esta información, aunque por lo menos tienes la opción de empezar a navegar usando una página de confianza. Sin embargo, un correo electrónico basado en web puede mandarte todo un ataque malicioso en forma de web a tu bandeja de entrada.

La única forma de estar seguros de la seguridad en el entorno de los webmails es tener las habilidades de un desarrollador web profesional y poder entender todas las capas de código HTML o Javascript. Es la única manera de saber de antemano las consecuencias de hacer clic en un enlace y obviamente no es algo que se pueda esperar de los usuarios normales para que se protejan de las amenazas.

Hasta que los diseñadores de software y los desarrolladores cambien los servicios de correo electrónico basados en web y permitan que los usuarios tomen decisiones informadas cada vez que hagan clic en un enlace, deberíamos seguir el consejo de C.A.R Hoare, uno de los pioneros en seguridad informática: “El precio de la fiabilidad es la búsqueda de la máxima simplicidad”.

El correo seguro es el correo en texto sin formato

Las empresas privadas y las organizaciones son aún más vulnerables que los individuos porque un usuario solo ha de preocuparse por sus propios clics, mientras que cada trabajador de una organización es un punto débil por sí mismo. Es pura matemática: si cada trabajador tiene las mismas posibilidades de caer en una trampa de phising, el riesgo combinado de la compañía en su conjunto es mucho mayor.

De hecho, las empresas con 70 o más empleados tienen un 50 por ciento más de posibilidades de que alguien sea engañado. Las empresas deberían analizar de forma crítica a los proveedores de servicios de correo electrónico basados en web que les ofrecen menos seguridad que jugársela lanzando una moneda al aire.

Existen organizaciones que pagan a compañías de seguridad para comprobar si sus empleados siguen el protocolo de seguridad, pero sigue habiendo casos de phising y es un problema cada vez más común.

Como expertos en tecnología, llevamos tiempo luchando con el problema de que hay una parte de la tecnología que es una mala idea, aunque nos parezca emocionante. La sociedad debería hacer lo propio. Los usuarios que sean conscientes de los problemas de seguridad deberían exigir a sus proveedores de correo electrónico que ofrezcan la opción de texto sin formato. Desafortunadamente, son opciones que escasean aunque sean clave para detener la epidemia de falta de seguridad en los correos web.

Deberíamos dejar de usar los proveedores de correo electrónico que se nieguen a ofrecer esta opción, al igual que evitamos un callejón oscuro si queremos sentirnos seguros. Esos callejones de Internet pueden tener un aspecto bonito con sus anuncios, fotos y animaciones, pero no son un lugar seguro.

Autores:

  • Sergey Bratus (Investigador asociado de Ciencias de la Computación, Darmouth College)
  • Anna Shubina (Postdoctorado en Ciencias de la Computación, Darmouth College)

En colaboración con Robert Graham (desarrollador e investigador en Ciberseguridad)

Este artículo ha sido publicado originalmente en The Conversation. Puedes leer el artículo original aquí

Traducido por Silvestre Urbón

Fotos | iStock

Ver todos los comentarios en https://www.xataka.com

VER 20 Comentarios

Portada de Xataka