Cómo encriptar tus correos usando Mailvelope

por Christopher Guess
Oct 30, 2018 en Miscellaneous
Email Encryption

La encriptación es importante. Hoy quedan muy pocas personas que piensen lo contrario, especialmente en los medios.

Tanto los lugares en los que trabajamos como las personas que son objeto de nuestro trabajo tienen la capacidad de interceptar, escuchar y leer nuestras comunicaciones. Hay muchas herramientas disponibles para evitarlo, pero a menudo son difíciles de entender y mucho más de utilizar.

Existen varios niveles de esfuerzos que pueden llevarse a cabo para calmar la paranoia, desde la encriptación total de comunicaciones de una VPN hasta las computadoras portátiles con air gap. La forma más simple, sin embargo, es encriptar el correo electrónico.

Los modernos sistemas de correo electrónico basados en la web operan en SSL. Esto significa que la dirección del sitio web comienza con HTTPS y que todas las comunicaciones entre el equipo y el servidor de correo deberían, en teoría, estar encriptadas. Esto, comúnmente, es suficiente.

No es imposible, pero es bastante difícil romper esa barrera. Así que a menos que sepas que tu correspondencia está siendo monitoreada, el resto de este artículo no es relevante.

De cualquier modo y como dije antes, a veces las personas y las organizaciones a las que cubrimos apuntan contra un periodista en particular. Una contraseña robada o una computadora portátil confiscada pueden significar el acceso a tu correo electrónico privado. No deberías confiar únicamente en Google. Para casos así, se necesita otro nivel de encriptación. Un nivel que haga que sea prácticamente imposible leer tu correo sin necesitar, literalmente, cientos de años de potencia de cálculo para descifrar el código.

En casos como estos, PGP (o su versión de código abierto GnuPG) es la opción ideal. Incluso la Agencia Nacional de Seguridad de Estados Unidos lo detesta porque es muy difícil de descifrar. En el pasado, usar PGP solía ser muy complicado y consumir mucho tiempo.

Hoy voy a explicar cómo utilizar una sencilla herramienta que racionaliza enormemente el proceso. Me centraré únicamente en un único paso, si bien es cierto que también puede haber mayores niveles de seguridad. Por ejemplo, PGP puede utilizarse para cifrar archivos antes de su transmisión. Eso quedará fuera del alcance de este artículo, pero hay numerosos recursos disponibles para quienes deseen profundizar su seguridad.

Primero necesito explicar un concepto central. PGP usa lo que se llama “encriptación asimétrica”. A diferencia de la encriptación corriente, en la que la misma contraseña se utiliza para encriptar y desencriptar, PGP usa una llave para encriptar (la "llave pública”) y una distinta para desencriptar (la "llave privada”). Esto significa que la llave pública se puede distribuir a lo largo y ancho del mundo a cualquier persona que desee enviarte mensajes.

Sin embargo, debido a que tú conservas la única copia de la llave privada, tú eres el único que puede desencriptar y leer mensajes encriptados con tu llave pública. Además, puesto que la llave privada también está protegida por una contraseña regular, incluso si la llave privada cae en las manos equivocadas puede que estas no sean capaces de descifrar nada.

Hay numerosos programas que pueden utilizar estas llaves para encriptar y desencriptar y, siempre y cuando utilicen PGP o sus herramientas más comunes, los mensajes son compatibles (con pequeñas excepciones que no revisaré ahora). Aquí utilizaré un complemento llamado Mailvelope para usar GPG con Gmail. Este complemento está disponible para Chrome y Firefox. La presentación a continuación (en inglés) se hizo en base a Chrome, pero los pasos son muy similares en cualquier navegador.

Como dije antes, esta es solo la primera línea de defensa y hay muchas más precauciones que puedes tomar. La seguridad es un estado mental, no una herramienta, y adquirir el hábito de protegerte en el nivel adecuado es, por lejos, la parte más difícil de esto.

Imagen principal con licencia Creative Commons en Flickr, vía IntelFreePress.