S/MIME: firma y cifra tus correos electrónicos
Con S/MIME se pueden cifrar los correos electrónicos de modo que solo el destinatario previsto pueda leerlos. Para ello se utiliza su clave pública, con la que se cifra el mensaje. Este se descifra después con la clave privada correspondiente. Un certificado S/MIME se puede importar fácilmente en los clientes de correo.
¿Qué es S/MIME?
En la publicación RFC 1847 de 1995 se detallan dos extensiones de seguridad para el estándar de correo electrónico MIME, siglas de Multipurpose Internet Mail Extension (en español, Extensiones Multipropósito de Correo de Internet): por un lado, el formato multipart/signed para firmar mensajes y, por el otro, el formato multipart/encrypted para codificarlos. Solo cuatro años más tarde el IETF (Internet Engineering Task Force) publicó con la extensión para MIME denominada S/MIME descrita en RFC 2633, un estándar compatible con el formato de firma antes citado.
Para la codificación, en cambio, recurre a la solución propia application/pkcs7-mime. Puedes elegir si quieres que S/MIME solo codifique o solo firme el correo o, si por el contrario, deseas aplicar ambas operaciones, disponibles para los clientes de correo electrónico más conocidos, como Microsoft Outlook, Thunderbird o Apple Mail. Una de las alternativas más conocidas que soporta multipart/signed y multipart/encrypted es OpenPGP, definida en 2007.
- Protección de datos y seguridad profesional
- Cifrado de correo electrónico con SSL/TLS
- Máxima protección antivirus gracias a cortafuegos y filtros antispam
- Copias de seguridad diarias, protección diaria
¿Cómo funcionan la codificación y la firma con S/MIME?
S/MIME se basa en el cifrado asimétrico y recurre para ello a un par de claves, estas son, una clave privada (private key) y una pública (public key). Mientras que la pública se comparte con todos los contactos de la cuenta de correo, la privada se reserva solo para el usuario y será necesaria, por un lado, para decodificar los mensajes recibidos y, por otro, junto con la clave pública del destinatario, para poder enviar correos electrónicos cifrados. Con un certificado S/MIME, ofertado por diferentes proveedores, el cliente de correo electrónico puede crear e intercambiar claves.
Para que funcione el cifrado de correos electrónicos, a cada mensaje S/MIME se antepone la información del encabezado, que envía al cliente receptor las indicaciones necesarias para registrar y tratar el contenido, entre las que se incluyen el tipo de contenido (en los archivos cifrados, por ejemplo, “enveloped-data”), el nombre de archivo correspondiente (como smime.p7m para datos firmados o protegidos) o la forma del código. Un encabezado factible para un correo cifrado puede ser, por ejemplo:
Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7mLa firma S/MIME puede adjuntarse al correo electrónico automáticamente cuando se está redactando, y se considera de gran utilidad por diversos motivos. En primer lugar, permite comunicar al destinatario la clave pública que asegura el proceso de comunicación entre ambos, de modo que este puede también enviar mensajes con información cifrada. Además, la firma también demuestra al destinatario que has enviado el mensaje y, al contrario que en PGP, al introducir una firma no aparecen caracteres cifrados. En caso de que el cliente de correo destinatario encuentre incongruencias al verificar la firma recibida, la legitimidad del mensaje no puede ser confirmada, lo que puede denotar una manipulación de los datos.
Incluso si no utilizas la firma digital, continúa siendo posible dar a conocer la clave pública a través de otros métodos: publícala en un servidor de claves, en tu propia web o guárdala como archivo en un dispositivo externo de almacenamiento.
¿Cómo adquirir un certificado S/MIME para enviar tus propios correos?
Como ya se ha dicho, para usar S/MIME se requiere un certificado (X.509). En principio podemos crearlo nosotros mismos, no obstante, para ello vamos a necesitar primero un certificado raíz, que en este caso debe generarse también. Además, antes de que se produzca un intercambio de información cifrada, todos los interlocutores deberán haber importado este certificado raíz. Por ello, se recomienda optar por una opción más fácil y rápida, consistente en la adquisición de un certificado en un organismo oficial de certificación. Una clasificación típica divide a los certificados en tres tipos:
- Clase 1: el certificado expedido por el organismo de certificación garantiza la veracidad de la dirección de correo dada.
- Clase 2: el certificado garantiza la veracidad de la dirección de correo dada así como la del nombre que se le asigna. Además, siempre que tenga importancia, se confirmará también la empresa. La verificación de los datos se produce mediante bases de datos de terceros o copias de carnets de identidad.
- Clase 3: este tipo de certificados se diferencia del de la clase 2 en que el solicitante tiene que identificarse en persona.
Si deseas cifrar tus mensajes con S/MIME y estás buscando un certificado, es importante que no pierdas de vista su función principal, esta es, proteger la comunicación vía correo electrónico y evitar que el contenido de los mensajes sea interceptado y manipulado por terceros, motivo por el cual es esencial tener en cuenta la seriedad y el grado de confianza del proveedor que se vaya a elegir.
Un servicio recomendable, cuyos certificados son reconocidos por el 99 % de los clientes de correo electrónico, es Sectigo (anteriormente Comodo). Esta autoridad de certificación, conocida sobre todo por sus certificados SSL de alta calidad, ofrece certificados S/MIME para uso personal (desde $24.50 al año) que permiten implementar un cifrado de correo electrónico de extremo a extremo con S/MIME.
- Simplifica tu trabajo con correos
- Diseño sencillo y rápido
- Función de traducción integrada
Cómo instalar S/MIME en tu programa de correo electrónico
Para poder integrar estos procedimientos de seguridad en el cliente de correo utilizado, lo primero que se necesita, como es lógico, es un certificado S/MIME, por lo que la búsqueda del proveedor se convierte en el primer paso para conseguir que tus correos sean seguros y estén protegidos. A continuación, se procede a generar e instalar un certificado personificado, proceso que en la mayoría de los casos varía mínimamente de un proveedor a otro. Tras la instalación es importante configurar el programa de correo correspondiente para que haga uso de S/MIME y recurra al certificado insertado. Por norma general el proceso de instalación finaliza al reiniciar al cliente, tras lo cual se activan funciones específicas para el cifrado o la firma automática o manual de los mensajes.
En los siguientes apartados te ofrecemos instrucciones detalladas para instalar S/MIME en el sistema de escritorio Windows y macOS, así como en los sistemas móviles iOS y Android.
Instalación de S/MIME en Windows
Si quieres usar la tecnología S/MIME en un ordenador con Windows, pero no quieres pagar por utilizar Outlook o Microsoft Office, puedes recurrir a la alternativa gratuita Thunderbird, producto de la casa Mozilla, al igual que el navegador Firefox. Si aún no lo has hecho, es necesario que instales el cliente y crees una cuenta, tras lo cual deberás guiarte por los siguientes pasos para activar el cifrado y la firma S/MIME:
- Una vez que hayas obtenido tu certificado S/MIME de un proveedor de tu elección, abre Thunderbird e inicia el proceso desde el menú de Configuración. En el apartado “Privacidad y seguridad” encontrarás la sección “Certificados”. Haz clic en el botón “Administrar certificados…”.
- Accederás al menú de gestión de certificados. Selecciona la pestaña “Tus certificados” e importa el certificado S/MIME que hayas recibido y guardado de tu proveedor haciendo clic en “Importar” y seleccionándolo. A continuación, introduce la contraseña facilitada por el proveedor para completar el proceso.
- Ve a los ajustes de la cuenta de correo electrónico en la que quieras activar el cifrado. Haz clic en el apartado “Cifrado de extremo a extremo”. Allí encontrarás la opción de S/MIME y podrás seleccionar el certificado S/MIME que acabas de importar para firmar y cifrar tus correos electrónicos. Haz clic en el botón “Seleccionar” para activarlo.
- Cuando redactes un nuevo correo electrónico, podrás activar o desactivar el uso de S/MIME desde el botón correspondiente en la barra de herramientas. Además, tendrás la opción de decidir si quieres aplicar S/MIME solo para el cifrado, solo para la firma o para ambas funciones.
Independientemente de si el cifrado y la firma en Thunderbird se añaden de forma manual o automática, debes tener en cuenta que el asunto seguirá siendo visible.
Instalación de S/MIME en macOS e iOS
Los dispositivos de Apple disponen ya, con el cliente “Mail”, de una solución instalada que desde un principio da la posibilidad de cifrar y firmar correos con S/MIME. Si posees una cuenta de correo, puedes crear directamente un certificado con tu proveedor sin necesidad de instalar un programa adicional. El procedimiento no se diferencia mucho del que seguimos con Windows: accede a la página web de tu proveedor y crea un certificado basado en tus datos personales. Finalmente, procede como se indica para instalar el certificado y configurar el cifrado S/MIME:
-
Tras abrir el correo enviado por tu proveedor, descarga el certificado en cualquiera de las carpetas. Al hacer doble clic, los archivos descargados pueden abrirse en macOS directamente y añadirse al administrador de contraseñas con llaveros. Si además, quieres usar S/MIME en iPhone o iPad, puedes enviarlo por correo electrónico al dispositivo móvil.
-
Tras la instalación, hay que iniciar o reiniciar Apple Mail para poder integrar los procedimientos de cifrado y firma.
-
Ahora puedes probar S/MIME enviándote a ti mismo un mensaje cifrado y firmado. Abre Apple Mail y crea un nuevo correo electrónico. En el campo “De”, selecciona la cuenta de correo para la que hayas configurado un certificado S/MIME en el llavero. En el encabezado del mensaje verás dos iconos: una marca de verificación para la firma y un candado para el cifrado.
Cómo configurar S/MIME en Android
Android, al igual que Windows, no cuenta con un cliente propio para integrar S/MIME. Sin embargo, existen distintas aplicaciones que soportan este sistema y que se pueden descargar desde Google Play. Entre las soluciones gratuitas destaca la app de código abierto FairEmail, que en su versión Pro (sin anuncios) es de pago. Al igual que en la configuración del cifrado y firma S/MIME en Windows y macOS, primero necesitas un certificado S/MIME válido, que puedes generar siguiendo el procedimiento ya explicado. A continuación, deberás completar los siguientes pasos:
- Para importar tu certificado S/MIME generado, abre primero en los ajustes de la aplicación el menú “Cifrado”. Desplázate hasta el apartado “S/MIME* y pulsa en “Importar clave privada”.
- En el mismo menú indica qué algoritmo de firma y qué algoritmo de cifrado quieres utilizar. Después, en la parte superior del menú de “Cifrado” (sección “General”), puedes definir en qué casos se cifrarán tus mensajes, por ejemplo, de forma predeterminada o solo al responder a un correo cifrado recibido.
- Cuando redactes mensajes, el cifrado y la firma se añadirán automáticamente, siempre que lo hayas configurado así en el paso anterior. De lo contrario, puedes usar los botones al final de la ventana del mensaje para activar estas funciones de seguridad.
- The world’s leading email and calendar solution
- Secure hosting from a single source
- Anytime remote access with Microsoft Outlook