El correo electrónico ha sido una parte integral de la comunicación digital durante más de cinco décadas.
En 1971, Ray Tomlinson envió lo que generalmente se considera el primer correo electrónico como una prueba de la función de correo en Arpanet.
Sin conocimiento del hito histórico, lo envió a sí mismo con el contenido “QWERTYUIOP”, según relató en una entrevista a finales de la década de 1990.
El protocolo estándar para enviar correos electrónicos, SMTP, existe desde 1981, mientras que el protocolo más común para recuperar y gestionar correos electrónicos, IMAP, fue introducido en 1988.
A lo largo del tiempo, los mayores cambios técnicos han incluido la implementación de conexiones cifradas mediante SSL/TLS.
A lo largo de las primeras décadas de vida del correo electrónico, la privacidad y la protección de datos personales no fueron consideraciones prioritarias en el desarrollo de la tecnología subyacente.
Aunque la encriptación para comunicaciones secretas, como PGP (1991) y S/MIME (1995), llegó temprano, aún no ha alcanzado una adopción generalizada incluso después de 30 años.
Además, los desarrollos actuales han dejado al correo electrónico con menos protección de privacidad que en cualquier otro momento de su evolución.
INDICE
Amenazas Externas e Internas
El correo electrónico presenta inconvenientes de privacidad en dos frentes distintos, cada uno con requisitos de protección específicos.
En primer lugar, está la preocupación por la vigilancia de las comunicaciones a lo largo de la ruta entre el remitente y el destinatario, es decir, una amenaza externa para los correos electrónicos.
Sin embargo, la preocupación más significativa para la mayoría de las personas en la actualidad es la amenaza que surge desde dentro del propio correo electrónico, que implica diversas técnicas de rastreo y espionaje a través del contenido técnico de los correos electrónicos que se abren.
¿Cómo ocurre el rastreo de correos electrónicos?
Tan pronto como abres un correo electrónico, la persona que lo envió puede rastrearte para conocer tu ubicación, el momento en que lo abriste y cuántas veces lo hiciste.
Todo esto es posible gracias a los llamados píxeles de seguimiento, que son imágenes diminutas, a menudo de un solo píxel blanco, generadas en el servidor del remitente con un nombre de archivo aleatorio vinculado a tu perfil.
Esta técnica se utiliza en diversos contextos, desde SPAM hasta boletines informativos y correos electrónicos individuales.
Måns Jonasson, experto en internet en la Fundación Sueca de Internet, destaca que el rastreo mediante imágenes con nombres de archivo únicos vinculados a perfiles de usuario o cuentas no se limita solo a los píxeles de seguimiento, sino que puede aplicarse a cualquier imagen en un correo electrónico HTML.
“Los correos electrónicos HTML también permiten rastrear a los destinatarios mediante otras técnicas, como cookies y contenido dinámico“, menciona Cooper Quintin, tecnólogo sénior de interés público en la Electronic Frontier Foundation (EFF).
Ambos expertos también abordan la otra forma común de rastreo: mientras que los píxeles de seguimiento y técnicas similares funcionan de manera pasiva, los enlaces de seguimiento representan una forma activa de rastreo.
Básicamente, hay dos tipos de enlaces de seguimiento:
- aquellos que no van directamente al destino final, sino que pasan por un servidor que rastrea el clic y te redirige,
- y enlaces regulares con un código de seguimiento adicional después de la dirección en sí.
En ambos casos, se solicita que hagas clic en el correo electrónico, llevándote, por ejemplo, a una publicación de blog o a una página de producto en una tienda.
En el primer caso, el navegador se dirigirá primero a un dominio completamente diferente antes de continuar.
A menudo, puedes observar que la página comienza a cargarse varias veces antes de abrirse finalmente, con diversas direcciones que aparecen en la barra de direcciones.
El segundo tipo te lleva directamente al destino, pero si inspeccionas la barra de direcciones, notarás que es muy larga y contiene códigos extensos y otros elementos después de la dirección convencional.
También puedes identificar esto copiando la dirección y pegándola en la barra de direcciones en lugar de hacer clic en ella.
¿Cómo detener el rastreo de correos electrónicos?
Para evitar el rastreo de correos electrónicos a través de píxeles y otras imágenes, existen dos métodos fundamentales.
Puedes optar por desactivar completamente los correos electrónicos HTML y abrir todos los mensajes en formato de texto sin formato, o bien, puedes deshabilitar la carga automática de contenido remoto, siendo las imágenes el tipo más común.
“Desactivar la carga automática de imágenes es el mejor ejemplo concreto de una protección sencilla si te preocupa el rastreo, y esto se realiza automáticamente en el spam sospechoso en Gmail y muchos otros clientes“, destaca Måns Jonasson.
Cooper Quintin sugiere la opción más radical de desactivar por completo los correos electrónicos HTML.
Esta alternativa, en comparación con detener la carga de imágenes, ofrece protección adicional contra posibles vulnerabilidades de seguridad en el manejo de HTML, brindando cierta defensa contra malware y piratería.
Sin embargo, por otro lado, puede afectar el funcionamiento adecuado de muchos correos electrónicos, como aquellos con ofertas que realmente deseas recibir, por lo que se convierte en un equilibrio entre la protección de la privacidad y los beneficios.
Dado que muchos usuarios han desactivado la carga automática de imágenes, algunos profesionales del marketing han optado por enviar correos electrónicos con muy poco texto sin formato.
La mayoría del contenido se presenta en imágenes, y un texto cerca de la parte superior sugiere algo como “¿Este correo electrónico no se ve bien? Ábrelo en el navegador en su lugar“, con un enlace.
“Es una tendencia que he observado […] que te obliga a cargar imágenes para leer el correo electrónico porque todo el texto está en ellas“, comenta Cooper Quintin.
Para evitar el rastreo en estos casos, hay limitadas acciones que puedes tomar por tu cuenta.
No es posible desactivar la exploración de imágenes y solo examinar imágenes individuales al hacer clic en ellas, por ejemplo.
Si las imágenes son enlaces y no has desactivado los correos electrónicos HTML, puedes hacer clic en ellas, pero probablemente se trate de un enlace de seguimiento.
Eliminar eficazmente los enlaces salientes es difícil y complicado, ya que necesitas conocer de antemano cuáles se utilizan para el seguimiento, y nunca será 100 por ciento efectivo, además del riesgo de deshabilitar enlaces legítimos, al igual que cualquier otro filtro en Internet.
Algunas empresas trabajan activamente para evitar el rastreo de correos electrónicos.
Los usuarios de Apple cuentan con la tecnología denominada Protección de privacidad en Mail, que protege contra el rastreo tanto activo como pasivo.
Este servicio analiza todas las imágenes y otros datos en los servidores de Apple para que el remitente no pueda ver tu dirección IP y cuándo abriste el correo electrónico.
También elimina el código de seguimiento de muchos proveedores, como Google, Facebook y los códigos de ahorro de anuncios de Microsoft.
El proveedor de correo electrónico basado en suscripción Hey también incorpora diversas tecnologías que detienen el rastreo.
Similar a Apple, todas las imágenes se cargan desde los servidores de la empresa en lugar de hacerlo directamente desde tus dispositivos, y Hey elimina automáticamente píxeles de seguimiento y otros rastreadores de una extensa lista de rastreadores conocidos, además de cualquier imagen y otro contenido que siga patrones de seguimiento típicos, como las imágenes de un solo píxel de tamaño.
El cifrado de datos
Hasta ahora, nos hemos centrado en la amenaza que representa el correo electrónico.
Sin embargo, ¿qué hay de la amenaza al correo electrónico, como la vigilancia masiva?
La única forma de protegerte por completo contra cualquier forma de vigilancia es mediante el cifrado de máxima seguridad, donde solo tú y el destinatario tienen las claves para desbloquear el contenido de tus mensajes.
Sin embargo, este tipo de cifrado nunca se ha adoptado ampliamente para el correo electrónico.
Soluciones como PGP, GPG y S/MIME son complicadas de configurar y usar.
Ambas partes deben crear pares de claves e intercambiar sus claves públicas, y obtener un cliente de correo electrónico que admita la tecnología.
Esto es lo suficientemente complicado en una computadora, pero casi imposible en un teléfono móvil, donde la mayoría de las personas revisan sus correos electrónicos hoy en día.
Cuando se le preguntó a Måns Jonasson y Cooper Quintin si valía la pena intentar comenzar con PGP como persona privada, la respuesta honesta fue: “No”, según Måns Jonasson.
Resulta que PGP es increíblemente difícil incluso para expertos en seguridad informática, sin mencionar a los usuarios comunes.
“PGP no es la mejor solución para la comunicación cifrada y creo que es mejor priorizar que otros comiencen a usar Signal, WhatsApp, ProtonMail y otras formas de comunicación totalmente cifrada“, respondió Cooper Quintin.
Ambos expertos señalan que la percepción común de que el correo electrónico no está cifrado es, como dice Måns Jonasson, una verdad con modificaciones.
Gran parte del tráfico de correo electrónico hoy en día se cifra mediante TLS/SSL.
Los protocolos de correo electrónico fueron diseñados originalmente para no estar cifrados, y durante mucho tiempo todo el tráfico de correo electrónico en Internet estaba completamente sin cifrar.
Sin embargo, hoy en día, Gmail, Outlook y otros grandes proveedores cifran sus comunicaciones, al menos de servidor a servidor.
A largo plazo, casi el 100 por ciento del tráfico de correo electrónico ciertamente estará cifrado.
El tráfico entre los dispositivos de los usuarios y los servidores de correo electrónico casi siempre está cifrado, y como la mayoría de las personas hoy en día tienen su correo electrónico alojado por Google o Microsoft, Cooper Quintin afirma que esto a menudo significa que los correos electrónicos están cifrados todo el tiempo.
Si eres usuario de Gmail y envías un correo electrónico a otro usuario de Gmail, el correo electrónico nunca abandonará los servidores de Google.
Los principales proveedores como Gmail y Outlook también cifran los correos electrónicos cuando se envían entre los servidores de las compañías, por lo que con pocas excepciones, los correos electrónicos que envíes estarán cifrados todo el camino desde ti hasta el destinatario.
No obstante, las compañías que gestionan el correo electrónico pueden ver el contenido y también escanear todos los correos electrónicos en busca de malware, pornografía infantil y spam.
Si los mensajes estuvieran completamente cifrados, no se podría realizar dicho escaneo.
Según Cooper Quintin, esto significa que la amenaza para tu privacidad es que la policía pueda, por ejemplo, solicitar tus correos electrónicos durante una investigación criminal, “así que es posible que no desees enviar cosas por correo electrónico que no desees escuchar durante un juicio“.
En resumen, Signal, WhatsApp, iMessage y otros servicios de mensajería con cifrado de máxima seguridad son mejores para intercambiar secretos entre amigos.
Sin embargo, aparte del seguimiento con fines de marketing, los usuarios regulares no necesitan preocuparse especialmente por el correo electrónico.
“No cargar imágenes en correos electrónicos desconocidos y no hacer clic en enlaces en dichos correos electrónicos ayuda mucho“, señala el Jonasson.
Conclusión
En conclusión, el correo electrónico, con más de 50 años de existencia, presenta problemas significativos en términos de privacidad y seguridad.
La amenaza proviene tanto de factores externos, como el rastreo de correos a través de píxeles y enlaces de seguimiento, como de preocupaciones internas, incluida la vigilancia masiva.
Aunque existen soluciones, como desactivar la carga automática de imágenes, adoptar tecnologías de privacidad en servicios específicos y utilizar servicios de mensajería cifrados, la implementación generalizada de cifrado de máxima seguridad en el correo electrónico sigue siendo limitada debido a la complejidad y la falta de adopción masiva.
A pesar de los problemas, los usuarios pueden tomar medidas para proteger su privacidad, siendo conscientes de las amenazas y adoptando prácticas de seguridad recomendadas.
