Seis soluciones de encriptación de correo electrónico a examen

Por Internet viajan libremente todos los días millones de correos electrónicos, muchos de ellos con información corporativa sensible y, sin embargo, desprotegidos. No obstante, cada vez son más las organizaciones conscientes de la necesidad de proteger sus e-mails con técnicas de encriptación, manteniéndolos a salvo de “curiosos”. Son múltiples las soluciones de encriptación de correo electrónico ya disponibles en el mercado y cuál sea la mejor, dependerá en gran medida de las peculiaridades de cada organización.

Proteger los datos sensibles de las empresas en la era de la información y las comunicaciones se ha convertido en un imperativo ineludible. Aún más en aquellos sectores donde la privacidad de los datos se encuentra especialmente regulada, como puede ser la banca o la salud. Ya se trate de información almacenada en bases de datos, en cintas de backup, transportándose hacia un centro de respaldo o dentro de un correo electrónico, el responsable de informática de cualquier empresa debe estar en condiciones de garantizar su seguridad. Quizá la suerte le acompañe y, aunque los datos no estén lo suficientemente protegidos, nada ocurra, pero en caso de problema serio, probablemente su cabeza sea una de las primeras en rodar. Por tanto, se hace cada vez más crítico desarrollar una estrategia comprehensiva de la seguridad TIC que marque cuáles son los niveles de riesgo aceptables en cada negocio y establezca los medios necesario para garantizar que esos niveles nunca son sobrepasados.

Una de las dimensiones más importantes a tener en cuenta en una estrategia de este tipo es la seguridad requerida por la información que viaja por la Red asociada al cada vez más ubicuo correo electrónico. Los documentos adjuntos a ellos contienen a menudo información estratégica o datos sobre clientes, pacientes, socios, etc., que deben ser protegidos, incluso, por ley. En este contexto, la encriptación del correo electrónico se está convirtiendo cada vez más claramente en un requisito imprescindible de cualquier organización.

Generalmente, las técnicas de cifrado y encriptación tienden a asociarse a las ideas de complejas implementaciones, de ralentización del rendimiento de los equipos y de la necesidad de conocimientos especializados por parte de los usuarios. Sin embargo, los expertos llevan tiempo subrayando que los suministradores de soluciones de correo electrónico seguro han realizado drásticas mejoras en lo que respecta a lograr que sus productos sean más fáciles de utilizar y gestionar.

Según Travis Berkley, director de LAN Support Services en la Universidad de Kansas y participante el año pasado en un proceso de prueba sobre diferentes soluciones de encriptación de e-mail como miembro de Network World Lab Alliance, “encriptar correo electrónico es mucho más sencillo de lo que cualquiera podría imaginar”. Además, Berkley asegura que, para la mayoría de las empresas, el coste de encriptar correo electrónico no resultará en absoluto prohibitivo.

Gestión a nivel de gateway
Aunque la complejidad derivada de la necesidad de gestionar claves y certificados de encriptación puede llegar a disuadir a muchos responsables TIC de implementar un sistema de este tipo, ésta complejidad se encuentra asociada fundamentalmente a la encriptación realizada en los sistemas de sobremesa. Existen, sin embargo, alternativas que permiten aplicar una gestión a nivel de gateway basada en políticas y que pueden llegar incluso a resultar completamente transparentes para el usuario final.

Durante las pruebas, se realizaron diversos tests de los productos de seis fabricantes; en concreto, CipherTrust IronMail, Entrust Entelligence, PGP Universal Series 500, PostX Secure E-mail, Tumbleweed MailGate y ZipLip Secure Messaging Suite. Todos ellos soportaban la gestión a nivel de gateway y, aunque en las pruebas se utilizó un servidor Exchange Server 2003, funcionan con cualquier sistema de correo que soporte SMTP.
Con estos sistemas, los mensajes salientes se envían al servidor de gateway para su procesamiento, mientras que los entrantes son procesados por la plataforma, que los desencripta en caso de que sea necesario, y después envía los resultados al servidor de e-mail.

Sin embargo, en la encriptación no sólo queda implicada la parte emisora, sino que debe contemplar también al receptor del mensaje, que a menudo no será miembro de la organización. Para resolver el problema cuando el destinatario del mensaje es un usuario externo que no está utilizando encriptación, todos los fabricantes cuyas ofertas fueron analizadas habían implementado una interfaz basada en Web que los receptores pueden utilizar para recuperar el correo encriptado.

En caso de que el sistema no pueda encontrar una clave para desencriptar un mensaje saliente, éste es trasladado a un sitio Web de la red del emisor. A continuación, envía un mensaje abierto (no encriptado) al destinatario dirigiéndolo al sitio Web en cuestión. Cuando el usuario externo se conecte a esa página por primera vez, se le solicitará una contraseña para acceder. Una vez autenticado, podrá entrar y leer el correo manteniendo una conexión basada en navegador y securizada vía SSL.

Atendiendo a la puntuación media global alcanzada en las pruebas, IronMail CipherTrust resultó ganador de la distinción Clear Choice Award “por su alto y estable rendimiento, sus capacidades de administración y sus reglas para la aplicación de políticas”. Sin embargo, ganó por muy poco a los otros cinco productos sometidos a análisis, algunos de los cuales, para determinadas prestaciones, resultaron claramente vencedores. En consecuencia, la opción más indicada dependerá en gran medida de las peculiares del entorno donde se vaya a implementar la encriptación y, en consecuencia, de sus prioridades.

El otro extremo
Por ejemplo, cada producto permite controlar de manera diferente el contenido del repositorio Web donde se almacenan los mensajes que deben ser accedidos por usuarios externos previa autenticación. Se trata de algo importante dado que la empresa estará hospedando el correo electrónico para los destinatarios externos y por tanto es necesario mantener el control sobre los recursos comprometidos. Algunos productos ofrecen la posibilidad de crear reglas para la eliminación automática de mensajes una vez transcurrido un plazo predeterminado. PGP también permite fijar un cupo máximo para el almacenamiento de mensajes, de manera que, una vez alcanzado, éstos sean rechazados.

ZipLip y PostX ofrecen una forma adicional de entregar e-mail encriptado a usuarios externos sin encriptar los mensajes mismos. Éstos son enviados en forma de fichero adjunto JavaScript, presentado al destinatario como un envoltorio de seguridad. Cuando el primer mensaje es enviado, el usuario debe conectarse al sitio Web y crear una contraseña. Una vez esa contraseña se ha registrado y aceptado, los destinatarios recibirán los mensajes “envoltorio” securizados, podrán abrir el fichero, que les pedirá la contraseña, y, si la respuesta es correcta, mostrará el mensaje.

De esta manera se obtienen dos ventajas. En primer lugar, el mensaje se almacenará en el sistema de correo del receptor, en lugar de consumir los recursos de la empresa emisora. Por otra parte, la información podrá ser leída por el destinatario offline (sin conexión a la Web del emisor). No obstante, este método requiere disponer de un navegador con un buen soporte de JavaScript. Ambos sistemas funcionan bien con Internet Explorer y Mozilla Firefox, pero arr