Utiliza el correo electrónico de forma segura con PGP

Fecha de publicación
13/08/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

El correo electrónico es uno de los métodos de comunicación más utilizados, y es en el entorno empresarial donde se hace imprescindible. Son muchas sus ventajas, como su fácil uso o la inmediatez en la entrega, pero también presenta desventajas, como los intentos de fraude que utilizan este medio, aunque  la principal es la falta seguridad en las comunicaciones.

Además de prevenir el fraude, es una prioridad garantizar la privacidad, confidencialidad e integridad de las comunicaciones en determinados escenarios. Para garantizar que la comunicación sea segura con tus interlocutores y en particular con nuestro Equipo de Respuesta (en caso necesario), se recomienda firmar y cifrar los correos por medio del estándar OpenPGP.

¿Qué es OpenPGP?

OpenPGP es un estándar de código abierto basado en el método de cifrado PGP, Pretty Good Privacy por sus siglas en inglés. PGP nació con la finalidad de proteger la información que se distribuye a través de Internet (por ejemplo, por correo electrónico) mediante el uso de un sistema de criptografía de clave pública y de firmas digitales, que utilizan parejas de claves pública-privada para cifrar y firmar la información.

En criptografía de clave pública cada interlocutor cuenta con una pareja de claves: una privada y otra pública. Nuestra clave privada nos sirve para firmar documentos y nuestra clave pública para que el destinatario pueda comprobar la firma. Por otra parte, para cifrar utilizamos la clave pública del destinatario, así solo él podrá descifrarlo con su clave privada. Por ello, hemos de intercambiar las claves públicas antes de enviarnos mensajes cifrados y firmados.

La firma y el cifrado son operaciones criptográficas sobre el contenido del mensaje o sobre un resumen del mismo. La firma nos permite identificar la procedencia del mensaje y el cifrado nos da la garantía de que no ha sido modificado su contenido.

El estándar OpenPGP es soportado por multitud de clientes de correo electrónico por lo que es ideal para la tarea de mantener comunicaciones seguras por medio de este canal.

¿Cómo utilizar OpenPGP?

Se puede utilizar OpenPGP mediante multitud de programas pero,  para ilustrar su funcionamiento, nos centraremos  en el uso de algunos de los componentes de la suite de software libre Gpg4win, tal y como indica INCIBE-CERT en su guía Cifrado seguro de correo electrónico con PGP. Dentro de esta guía se describen todos los pasos necesarios para utilizar PGP en las aplicaciones de correo Outlook y Thunderbird.

OpenPGP no solo se puede utilizar en clientes de correo, como los mencionados, sino que es posible utilizarlo en clientes de correo vía web, como Gmail o Webmail, por medio de extensiones para el navegador.

¿Qué usos se puede dar a OpenPGP?

Entre los principales usos que se puede hacer de OpenPGP se encuentran:

  • Comprobar la autenticidad y la integridad de los correos por medio de técnicas de cifrado. De esta manera se puede comprobar que quien envía la comunicación es quien dice ser y que esta no ha sido alterada antes de llegar a su destinatario.
  • Cifrar el contenido del correo, incluidos los archivos adjuntos, para que éste sea solamente accesible por su destinatario. Si un tercero no autorizado se hace con el correo, no tendrá acceso a la información que contiene, incluido cualquier tipo de archivo adjunto.

¿Cómo comprobar la firma de Incidencias de INCIBE-CERT?

Para comprobar que los correos recibidos proceden efectivamente de la cuenta de correo Incidencias INCIBE-CERT el primer paso será descargar su clave pública, pudiéndose descargar desde el siguiente enlace:

La firma la habrá realizado el que envía el mensaje (en este caso incidencias) con su clave privada. Para comprobarla necesitamos su clave pública que previamente nos habrá enviado o habremos descargado, como en este caso. Una vez descargada, se tiene que importar al llavero de claves, término utilizado para referirse a la sección donde se administran las claves públicas de las distintas cuentas de correo de quienes nos envían correos.

Cuando hayamos importado la clave pública del emisor, en este caso “Incidencias”, se podrá comprobar la integridad y autenticidad de los correos que se reciban de esta cuenta, y,  en caso de que vayan cifrados con nuestra clave privada, la información podrá ser accesible.

A continuación se expone el mensaje que muestran varios clientes de correo para indicar la autenticidad e integridad de los correos:

Outlook

Mensaje que muestra Outlook informando que la firma el correo es confiable

Thunderbird

Mensaje que muestra Thunderbird informando que la firma el correo es confiable

Gmail

Mensaje que muestra Gmail informando que la firma el correo es confiable

¿Cómo cifrar y descifrar correos?

Para cifrar los correos y evitar que terceros no autorizados puedan acceder a la información contenida, has de tener la clave pública de los destinatarios incorporada a tu llavero de claves. Se seguirán los siguientes pasos.

NOTA: consulta en la guía para el uso de PGP cómo importar las claves públicas de las personas de contacto en PGP.

Outlook

Una vez escrito el correo, buscar el icono de «GpgOL» en la parte superior de la ventana de Outlook, pulsar la opción «Encrypt» y luego el botón «Enviar». De esta forma, nuestro correo irá cifrado con la clave pública del receptor que seleccionará de forma automática.

Cifrar correos en Outlook

Cuando se recibe un correo cifrado es necesario descifrarlo antes para su correcta visualización, para ello GpgOL mostrará una ventana en la cual habrá que introducir la contraseña de nuestro certificado PGP.

Descifrado de correos en Outlook

Una vez introducida, se mostrará el mensaje descifrado, y en el icono de GpgOL aparecerá un aviso para informar que el mensaje está cifrado, mostrando la etiqueta «GpgOL: Encrypted Message».

Thunderbird

Para cifrar un correo electrónico se ha de seleccionar en la pestaña «Enigmail» la opción «Cifrar mensaje». En el caso de que la clave pública del destinatario esté asociada a su correo electrónico, el mensaje se cifrará automáticamente. De no ser así, Thunderbird pedirá que se seleccione una clave de una lista. También puede firmarse pulsando sobre el icono del candado en la barra de «Enigmail» situado debajo de las opciones del correo.

 

Cifrado de correos en Thunderbird

Thunderbird reconoce cuándo un correo electrónico está cifrado, por lo que en el momento en que se quiera acceder a su contenido, el cliente de correo solicitará, para poder descifrarlo, la contraseña asociada a la clave PGP utilizada. Si el correo electrónico recibido está cifrado y firmado, se mostrará un mensaje de color verde.

Mensaje descifrado con Thunderbird

Gmail

Para cifrar y descifrar correos en Gmail el proceso es similar al de las otras dos aplicaciones de correo. Una vez escrito el mensaje, se seleccionará el botón de cifrado y se enviará el correo. Para descifrar un correo que has recibido cifrado con tu clave pública, una vez abierto se abrirá una ventana que solicitará tu contraseña PGP.

 

La firma y cifrado de correos por medio de PGP garantiza la confidencialidad, integridad y autenticidad en las comunicaciones. Es una de los mejores métodos que existen para hacer del correo electrónico un entorno seguro y confiable.

Ir arriba