Si bien una bandeja de entrada de correo electrónico vacía es algo por lo que muchas personas se esfuerzan, la mayoría de nosotros no tenemos éxito. Y eso significa que probablemente hayamos almacenado cientos, incluso miles, de correos electrónicos que contienen todo tipo de información personal que preferiríamos mantener en privado.

Defensas actuales, como Pretty Good Privacy (PGP) y Extensiones de correo de Internet seguras / multipropósito (S / MIME), dependen de la criptografía de clave pública que utiliza pares de claves públicas y privadas generadas por algoritmos criptográficos. Dado que estos sistemas son demasiado técnicos y difíciles para el usuario medio, la mayoría de la gente no los usa. Como resultado, muchas cuentas de correo electrónico han sido pirateadas, incluidos casos de tan alto perfil como el ataque de phishing contra el principal asesor de campaña de Hillary Clinton, John Podesta, y el pirateo de correo electrónico de 2016 de uno de los principales asesores de Vladimir Putin.

En respuesta a este tipo de ataques generalizados, Los informáticos de Columbia Engineering han creado Easy Email Encryption (E3), una solicitud de seguridad, correo electrónico cifrado que es fácil de administrar incluso para usuarios sin conocimientos técnicos. Ahora en modo de prueba beta, E3 cifra el correo electrónico de forma automática e invisible tan pronto como se recibe en cualquier dispositivo de confianza, incluidos los teléfonos inteligentes, laptops, y tabletas. Funciona en una variedad de plataformas, incluido Android, Ventanas Linux y Google Chrome, y con servicios de correo populares como Gmail, Yahoo, AOL, y más.

El equipo:los profesores Jason Nieh y Steve Bellovin y su Ph.D. estudiante John S. Koh:presentó su estudio hoy en EuroSys '19 en Dresde, Alemania, uno de los foros más importantes del mundo centrado en la investigación y el desarrollo de software de sistemas informáticos.

"La privacidad del correo electrónico se vuelve cada vez más crítica a medida que nuestras bandejas de entrada de correo electrónico aumentan de tamaño, "observa Koh, el autor principal del artículo. "Gracias a los servicios de correo gratuitos y muy populares, como Gmail, los usuarios guardan cada vez más correos electrónicos, proporcionando así una ventanilla única para los piratas informáticos que pueden comprometer todos los correos electrónicos de un usuario con un solo ataque exitoso ".

Desde 1999, cuando el artículo fundamental "Por qué Johnny no puede cifrar" mostró lo extraordinariamente difícil que era para las personas enviar correos electrónicos cifrados, Los investigadores han intentado diseñar sistemas de cifrado que sean más fáciles de administrar para el usuario medio. El problema es que se han centrado en soluciones de cifrado de extremo a extremo, donde solo el remitente y el destinatario originales pueden leer los mensajes. Terceros, incluidos los proveedores de telecomunicaciones e Internet, no pueden escuchar a escondidas ya que no pueden acceder a las claves criptográficas para descifrar la conversación. Si bien estas soluciones ciertamente funcionan y ofrecen la mayor seguridad, PGP y S / MIME, las soluciones de cifrado preferidas por los expertos, son tan complejos que no son prácticos, casi inutilizable, para un usuario no técnico.

"El campo de la seguridad del correo electrónico está pidiendo mejoras, "Koh señala". Durante 20 años, la comunidad de investigadores estaba obsesionada con la seguridad de un extremo a otro. Tomamos un rumbo diferente postulando que el cifrado de extremo a extremo para el correo electrónico no es necesario en el siglo XXI. Las conexiones a Internet están cada vez más protegidas de forma predeterminada mediante cifrado. Nuestra idea es que el correo electrónico debe estar protegido cuando se almacena en nuestras bandejas de entrada, no cuando se envía a través de Internet, porque los piratas informáticos solo intentan iniciar sesión en su cuenta de correo electrónico. Por lo tanto, aplicamos un modelo de 'cifrado al recibirlo' que proporciona una excelente seguridad en el mundo real y, al mismo tiempo, es mucho más utilizable que el cifrado de extremo a extremo ".

Durante los últimos tres años, el equipo de ingeniería de Columbia perfeccionó el E3, probando muchos enfoques diferentes antes de encontrar un método que marcara todas las casillas que necesitaban. Han estado probando la aplicación con un par de docenas de participantes en el estudio, muchos de los cuales no eran particularmente conocedores de la tecnología. Todos estuvieron de acuerdo en que E3 es significativamente más fácil de usar que los sistemas de última generación para correo electrónico seguro, hasta el punto en que E3 es casi tan fácil de usar como un cliente de correo electrónico normal.

El nuevo enfoque del equipo simplifica el cifrado de correo electrónico y mejora su usabilidad al implementar el cifrado controlado por el receptor. Los mensajes recién recibidos se descargan de forma transparente y se cifran en una clave generada localmente y luego se reemplaza el mensaje original. Un problema importante era cómo manejar varios dispositivos, especialmente importante en estos días, ya que la mayoría de la gente lee el correo electrónico en varios dispositivos. En lugar de mover las claves privadas, que es difícil de hacer de forma segura y exige grandes exigencias al usuario, los investigadores utilizaron pares de claves por dispositivo. Con este enfoque, solo las claves públicas deben sincronizarse mediante un simple paso de verificación. Los piratas informáticos que atacan con éxito una cuenta de correo electrónico o un servidor solo pueden obtener acceso a correos electrónicos cifrados. Todos los correos electrónicos cifrados antes de una infracción están protegidos.

En E3, las claves públicas nunca se comparten con otras personas. Son autogenerados y autofirmados, y no requieren una infraestructura de clave pública para que el usuario la comprenda. Trabajos anteriores han demostrado que a los usuarios les resulta confuso obtener y utilizar correctamente las claves públicas. A diferencia de, un usuario de E3 solo necesita claves autofirmadas, y cualquier intercambio de claves públicas entre los dispositivos del usuario está automatizado.

Los investigadores señalan que no tienen la intención de que el E3 sea un solución de máxima seguridad, sino más bien una mejora importante sobre la norma que es fácil de implementar y usar. Dice Koh, "Negociamos la perfección, de principio a fin, cifrado controlado por el remitente:para un aumento significativo en la usabilidad y la capacidad de proteger lo que ahora sabemos que es el problema real para la mayoría de las personas ".

El equipo está refinando E3 y haciendo que sus implementaciones, las aplicaciones reales, sean aún más fáciles de usar al probar nuevos enfoques aplicables al usuario moderno. Planean ponerlo a disposición en un futuro cercano para los usuarios de Android como una aplicación disponible gratuitamente en Google Play Store. También se está trabajando en una versión para iOS.