A fines del mes pasado, investigadores de las Universidades de Michigan e Illinois , junto con Google, descubrieron que en muchas partes del mundo la encriptación STARTTLS para el correo electrónico se puede romper fácilmente. Tras ese resultado, la compañía decidió que comenzará a advertir a los usuarios de Gmail cuando los mensajes de correo electrónico se envían sin cifrar cuando se entregan a otros proveedores de correo electrónico.
La nueva aventura es parte de la búsqueda de la empresa para mejorar la encriptación de correo electrónico. Google comenzó en el camino hace un año cuando lanzó la campaña de correo electrónico más seguro para alentar a otros proveedores de correo electrónico para utilizar el cifrado STARTTLS. Google puede cifrar sus propios correos electrónicos, pero no todo el mundo utiliza Gmail . Si otros proveedores no soportan encriptación STARTTLS, a continuación, los correos electrónicos, incluso de los usuarios de Gmail, se enviará sin cifrar a sus destinos.
Desde entonces, varios proveedores han comenzado a apoyar STARTTLS, pero de acuerdo a Google, el mayor impulso en el cifrado de correo electrónico fue ofrecido por la adopción del protocolo de Microsoft y de Yahoo. Sin embargo, muchos proveedores más pequeños todavía no lo ofrecen a sus usuarios, por lo que ahora Google está tomando el paso para advertir a sus usuarios de Gmail cuando envían un correo electrónico a un proveedor que no soporta adecuadamente STARTTLS.
Google descubrió que en algunos lugares del mundo, como Túnez, los atacantes estaban manipulando las solicitudes que inician el cifrado de correo electrónico. También descubrió que algunos servidores DNS maliciosos publican información de enrutamiento falsa para servidores de correo electrónico en busca de Gmail. Este tipo de ataque puede ser usado para censurar o modificar los mensajes antes de que lleguen a su destino. La compañía dijo que va a trabajar con otros socios de la mensajería, Grupo de Trabajo Anti-Abuso Móvil y Malware (M3AAWG) para fortalecer la encriptación de correo electrónico oportunista con las tecnologías que ya se utilizan en Chrome para proteger sitios web contra la interceptación .
Los usuarios de Gmail deben empezar a ver los avisos de correo electrónico no cifrados en unos pocos meses. Google también ha estado trabajando en una extensión de cifrado para navegador "End-to-End" desde que lo revelo en Snowden 2013, pero no ha mencionado ningún avance sobre el mismo en aproximadamente un año.
Fuente: Toms Hardware
No hay comentarios.:
Publicar un comentario