A raíz del último post, he recibido diferentes comentarios por correo mostrando plataformas y aplicaciones relacionadas con la seguridad en correos electrónicos, preguntando a ver cuál podría ser la solución más adecuada para poder mantener el secreto de las comunicaciones entre el cliente y el abogado. Muchas de ellas se presentan como auténticamente blindadas ante cualquier acceso de terceros, e incluso por parte de los administradores del servidor.

El problema es que, como en muchos campos, muchas veces la publicidad (que es lo que se nos muestra) no resulta conforme con la realidad, existiendo además antecedentes al respecto en el ámbito de los correos electrónicos. Es por ello que, ampliando el post anterior, quiero destacar algunos aspectos básicos que deberían ser tenidos en cuenta a la hora de optar por uno de estos servicios

1- Cumplir con las indicaciones señaladas en el post anterior (conexión segura, no mantener contraseñas en plano)

Este aspecto, pese a haberlo ya señalado en el post anterior, debe continuar siendo tenido en cuenta. De nada nos sirve que se de un buen lavado de cara al servicio si ante un acceso no permitido nuestra contraseña puede quedar plenamente desprotegida al estar en texto plano almacenada en las bases de datos de nuestro prestador.

Lo mismo sucede con el tema de la conexión, el exigir conexión segura no debería resultar extraño. No debemos limitarnos tampoco al típico “https”, sino que en el caso de utilizar clientes para conectarnos a sus servidores debemos observar si se ofrece una conexión de tipo seguro (imaps, pop3s).

Otros aspectos que deberían añadirse son el acceso a través de dos factores (con lo cual el acceso no autorizado a la contraseña no permitiría acceder al correo electrónico directamente, el famoso “una cosa que sabes – una cosa que tienes”).

Se podría discutir además la responsabilidad del prestador por optar por medidas tan inseguras como éstas, pero ello no evitaría que, siendo evidente el error, el abogado debería optar por otras soluciones.

Sí, los usuarios son el eslabón más débil de la cadena, pero precisamente por ello hay que evitar cualquier tipo de posible error a través de eliminar estos riesgos.

2- ¿Qué pasa con los correos iniciales de no usuarios de la plataforma?

Muchas de las plataformas se basan en PGP, e incluso implementan soluciones como puede ser la generación opcional de una clave temporal para los usuarios externos. El problema es que en la práctica totalidad esta solución únicamente tiene en cuenta lo que sucede una vez iniciada la comunicación por el abogado, pero no lo que sucede con el correo inicial enviado por el potencial cliente y que va a permanecer en reposo en nuestro servidor/cliente de correo.

Esta comunicación inicial debe ser asimismo protegida (sin perjuicio de que, efectivamente, pueden existir algunas dificultades técnicas para implementarlo de forma sencilla), y únicamente debe poder acceder a la misma el abogado.

Además del tema de cifrado, debe tenerse en cuenta cómo instrumentalizar tanto la comunicación inicial como las subsiguientes. Debemos pensar que puede existir riesgos de seguridad en los servicios usados por nuestros clientes, con lo cual otra posibilidad es desarrollar nuestra solución teniendo en cuenta esta circunstancia y permitiendo que se pongan en contacto con nosotros a través de una plataforma segura que controlamos.

3- ¿Qué tecnologías se usan? ¿Es posible auditarlas?

La seguridad no se basa en la ocultación del sistema de seguridad utilizado, sino precisamente en su transparencia. Muchas soluciones únicamente indican por encima los mecanismos utilizados, e incluso algunas afirman que son de código abierto para permitir que sean auditadas pese a no permitir acceso o permitirlo únicamente respecto a partes del cliente de forma limitada. Sería interesante que en la documentación al respecto, más allá del típico “seguridad de nivel militar” se indicara al respecto:

  • ¿Cómo se protegen los buzones en el servidor? Qué tecnología se usa? Quedan totalmente protegidos los metadatos?
  • ¿Qué tipo de cifrado se aplicará a nuestros mensajes y a nuestros adjuntos? Se encuentra accesible el código fuente?
  • ¿Qué se hace realmente con los mensajes salientes cuando el usuario no pertenece a la plataforma?
  • ¿Qué tipo de logs se almacenan en el servidor de nuestras comunicaciones?

4- A mí no me afecta, tengo un servidor de correo propio y…

El concepto de la nube nos ha llevado a una falsa sensación de seguridad. El paradigma de “en la nube no tengo que preocuparme más que de disfrutar el servicio” ha llevado a múltiples situaciones con problemas de seguridad y que deberían ser evitadas.

El cifrado bueno es conocido y auditado, y no por ello es menos seguro sino justo lo contrario. Desconfía de las soluciones llenas de palabras bonitas y que no dejan nada claro respecto a qué utilizan.

Utilizar un VPS, un servidor extranjero, u optar entre diferentes modelos de clientes webmail son decisiones a las que en ocasiones no se les da ningún peso y que en realidad son importantes desde la perspectiva de la seguridad y las consecuencias que ello puede tener para el ejercicio profesional usando estas herramientas.

5- Además de seguro y transparente, debe ser fácil de utilizar

El mayor obstáculo de muchas medidas de seguridad es la “dificultad” de su uso, en ocasiones una concepción errónea. No obstante, y para aumentar al máximo la implantación de dichas medidas, es necesario que en la medida de lo posible éstas se apliquen de forma transparente para los usuarios, sin que sea necesaria su intervención, con tal de que sus comunicaciones se realicen de forma tanto segura como cómoda.

Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.