Es habitual que exista confusión entre distintos conceptos que tienen que ver con la criptografía, especialmente en su aplicación en las comunicaciones email: firma, encriptación, cifrado y certificación de un mensaje email.

Email firmado electrónicamente

Firmar electrónicamente un email responde solamente a dos objetivos:

  • No repudio: acreditar quien es el autor de la comunicación.
  • Integridad: garantizar que los datos no han sido alterados durante su transmisión.

El acto de firmar electrónicamente un email busca dar garantías al destinatario acerca del origen y la integridad de los datos, nada más. Sin embargo y en contra de lo que la mayoría pueda creer, no es infalible: es posible alterar determinados datos de un email firmado electrónicamente, sin que por ello se altere la firma (se mantendrían su función de no repudio y de integridad del contenido), o, aun desapareciendo la firma, sin que el mensaje de correo electrónico aparente haber sido alterado.

Por lo demás, la firma electrónica incluida en un email no ofrece en ningún caso información sobre qué contenido ha sido transmitido ni tampoco confirmación de su efectiva transmisión y aceptación en destino.

Email encriptado

Es aquel cuyo contenido se encuentra protegido mediante clave criptográfica para evitar su lectura por parte de terceros no autorizados. Su utilización es altamente incómoda, ya que requiere el intercambio de claves entre las partes, y, por consiguiente, su uso es prácticamente inexistente.

La encriptación de un email suele identificar también al remitente e incorpora por consiguiente la función de no repudio, pero no ofrece información sobre qué contenido ha sido transmitido ni tampoco confirmación de su efectiva transmisión y aceptación en destino.

Email cifrado

Más que de emails cifrados, aquí hablamos de cifrar la transmisión de un email mediante una variante del encriptado de un email conocida como Opportunistic TLS. Del mismo modo que estamos familiarizados con los conceptos “servidor seguro” y “SSL” y su uso en una navegación web segura, existe la posibilidad de cifrar la transmisión de un email con la misma tecnología de base.

Se le llama Opportunistic porque en general no se obliga a emisor y receptor a transmitir por un canal seguro (TLS): opportunistic significa que quien inicia la transmisión puede intentar hacerlo de forma segura, optando por pasar a un canal no seguro cuando el servidor de correo del destinatario no incluye cifrado.

El cifrado de una transmisión email no depende del usuario, si no de los servidores y proveedores de correo electrónico del remitente y del destinatario. De hecho, salvo que hayan optado por encriptar los datos transmitidos, la mayoría de usuarios de correo electrónico desconocen si sus emails se envían o no por un canal seguro.

A diferencia de los dos casos anteriores, el cifrado de la transmisión no cumple ninguna función de no repudio ni de integridad de los datos. Además, el contenido transmitido es irrelevante a efectos del cifrado y en ningún caso queda acreditado, como tampoco su correcta transmisión.

Email certificado

La certificación de un email equivale a certificar la entrega electrónica de un determinado contenido, con independencia de si el email está firmado electrónicamente, de si su contenido esta encriptado y de si su transmisión esta cifrada.

A diferencia de los 3 conceptos anteriores, la certificación de un email responde a la necesidad de dejar acreditado su contenido exacto y su correcta transmisión y aceptación en destino en una fecha determinada, es decir quién envió qué, a quién y cuando. Como en otros ámbitos en los que se requiere dejar fe, la figura de quien certifica el contenido y transmisión de un email no puede recaer en ninguna de las partes interesadas, si no que necesariamente requiere de la intervención de un tercero.

Este tercero puede actuar o no como “tercero de confianza”, entendiendo tal figura como aquella cuya intervención o mediación es convenida y conocida por todas las partes. Cuanto entramos en el terreno de las entregas electrónicas certificadas, la entidad certificadora no tiene porque actuar como “tercero de confianza”, y mucho menos cuando se trata de certificar el contenido y entrega de un email: cuando no existe modo técnicamente fiable de acreditar que un email ha sido abierto, basta con certificar su transmisión para poder dejar constancia de la misma. Y para ello no es necesaria la intervención del destinatario.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>