Durante los últimos
meses se ha detectado que algunos ISP están optando por eliminar el cifrado de
los correos electrónicos que envían los usuarios, quedando la información al
descubierto.
Tampoco es necesario alarmarse (o al menos de momento)
ya que los casos detectados están localizados en Estados Unidos y en Tailandia.
Sin embargo, no deja de ser curioso que un ISP tome la decisión de eliminar el
cifrado de mensajes enviados utilizando estos servicios.
Algunos expertos en seguridad hablan de agencias de
seguridad de estos países y del interés que tendrían en que la información
enviada en estos documentos quede al descubierto. Y es que ya es sabido que
estas no son partidarias de que estos servicios o los terminales móviles cifren
sus datos, algo que quedó demostrado con el anuncio que Apple y Google hicieron
sobre este tema.
El flag STARTTLS es el origen del
problema
- En las comunicaciones existen algunos parámetros que son enviados junto con los datos y que definen por ejemplo la configuración de la comunicación o qué tipo de protección debe activarse. STARTTLS pertenece a este último caso, permitiendo establecer una comunicación segura entre el servidor y el ordenador del usuario. Si este flag está desactivado indica que el servidor o el origen no es compatible con el cifrado, y por lo tanto se envía en texto plano.
- El problema radica en que este flag es enviado sin ningún tipo de cifrado, por lo tanto, en cualquier momento de la comunicación se puede modificar con suma facilidad. Esto permitiría a los ISP realizar un ataque Man-in-the-Middle y obtener todos los correos de todos los usuarios que se quiera.
Violación de la privacidad de los
usuarios
- Las críticas, tal y como era de esperar, ya han hecho acto de aparición y algunas asociaciones de estos países han pedido que se elimine esta práctica que atenta contra la privacidad de los usuarios. Pero en estas acciones no solo suponen un inconveniente para la seguridad de los usuarios sino que también las grandes compañías como Google o Yahoo! se ven afectadas.
