Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
El correo electrónico sigue siendo uno de los vectores de ataque más dirigidos en la empresa. Los certificados S/MIME permiten a las organizaciones firmar y cifrar mensajes, demostrando la identidad del remitente y manteniendo el contenido confidencial, sin depender de plataformas de terceros.
A pesar del auge de las aplicaciones de mensajería y plataformas de colaboración, el correo electrónico sigue siendo la columna vertebral de la comunicación empresarial. Es como se firman los contratos, cómo se entregan los avisos legales y cómo los datos financieros sensibles se trasladan entre organizaciones. Sin embargo, el correo electrónico estándar (SMTP) fue diseñado a principios de la década de 1980 con sin seguridad incorporada. Los mensajes viajan en texto plano, los encabezados pueden falsificarse y no hay una forma nativa de verificar quién envió realmente un mensaje.
Esta brecha ha convertido al correo electrónico en el vector de ataque principal para phishing, compromiso de correo empresarial (BEC) y exfiltración de datos. Según investigaciones de la industria, más del 90 % de los ciberataques comienzan con un correo malicioso. Las organizaciones en finanzas, salud, gobierno y servicios legales enfrentan una presión particular porque manejan datos sujetos a regulaciones como GDPR que exigen confidencialidad y prueba de origen.
S/MIME (Secure/Multipurpose Internet Mail Extensions) resuelve ambos problemas a la vez. Utiliza certificados digitales y criptografía de clave pública para permitir a los usuarios de correo electrónico firmar digitalmente mensajes (que demuestran autoría e integridad) y cifrar los (garantizando que solo el destinatario previsto pueda leer el contenido).
S/MIME es un estándar (definido en RFC 8551) que amplía el formato de correo electrónico MIME con servicios de seguridad criptográfica. Ha sido compatible de forma nativa con los principales clientes de correo (Microsoft Outlook, Apple Mail, Mozilla Thunderbird y la mayoría de las plataformas de correo empresarial) durante más de dos décadas.
En su esencia, S/MIME se basa en X.509 certificados emitidos por una autoridad de confianza Autoridad de Certificación (CA). Cada usuario o buzón recibe un certificado que vincula su dirección de correo electrónico a una clave pública. La clave privada correspondiente se almacena de forma segura en el dispositivo del usuario's o en un almacén de claves gestionado.
Demuestra quién envió el mensaje y que no ha sido alterado en tránsito. El cliente de correo del destinatario verifica la firma automáticamente usando el certificado público del remitente.
Desordena el cuerpo del mensaje y los archivos adjuntos de modo que solo el titular de la clave privada del destinatario pueda descifrarlos. Incluso el operador del servidor de correo no puede leer el contenido.
Porque una firma válida solo puede producirse con la clave privada del remitente, el remitente no puede negar posteriormente haber enviado el mensaje, una propiedad conocida como no repudio con importancia legal en muchas jurisdicciones.
S/MIME es un estándar abierto implementado en todas las plataformas. Un correo electrónico firmado enviado desde Outlook en Windows puede verificarse en Apple Mail en macOS, o en Thunderbird en Linux.
Cuando un usuario envía un correo electrónico firmado, el siguiente proceso ocurre en segundo plano, típicamente en una fracción de segundo:
El cliente de correo calcula un valor criptográfico hash (normalmente SHA-256) del cuerpo completo del mensaje y los archivos adjuntos. Este hash es una huella digital de longitud fija que cambia si se modifica incluso un solo carácter.
La clave privada cifra el hash, produciendo la firma digital. La firma y el certificado del remitente (que contiene la clave pública) se adjuntan al mensaje.
El cliente de correo del destinatario's usa la clave pública del remitente's (del certificado adjunto) para descifrar la firma, revelando el hash original. Luego, genera de forma independiente el hash del mensaje recibido y compara los dos valores. Si coinciden, el mensaje es auténtico y no ha sido alterado.
El cliente de correo también verifica que el certificado del remitente's fue emitido por una CA de confianza, no ha expirado y no ha sido revocado. Sólo cuando todas las verificaciones pasan, el cliente muestra un indicador de firma verificada.
Firmar no cifrar el mensaje. El cuerpo sigue siendo legible por cualquiera que tenga acceso a él. Firmar garantiza únicamente identidad y integridad. Para confidencialidad, necesitas cifrado.
El cifrado S/MIME utiliza un enfoque híbrido que combina las mejores propiedades de la criptografía simétrica y asimétrica. Aquí se muestra cómo funciona el proceso en la práctica:
El cliente de correo del remitente' genera una clave simétrica aleatoria (por ejemplo, AES-256) para este mensaje único. El cifrado simétrico es rápido y eficiente para datos masivos.
El cuerpo del mensaje y todos los archivos adjuntos se cifran con la clave de sesión. El resultado es un bloque de texto cifrado que no se puede leer sin la clave.
La clave de sesión se cifra entonces con la clave pública (obtenida de su certificado S/MIME). Si hay tres destinatarios, la clave de sesión se envuelve tres veces, una por cada clave pública.
Cada destinatario usa su clave privada para desenrollar la clave de sesión, luego usa la clave de sesión para descifrar el mensaje. Solo alguien que posea la clave privada correcta puede completar este proceso.
En la práctica, la mayoría de las organizaciones combinan la firma y el cifrado para mensajes sensibles. El correo electrónico se firma primero (demostrando el remitente), luego se cifra (protegiendo el contenido). El destinatario descifra primero, luego verifica la firma, todo gestionado de forma transparente por el cliente de correo.
No todos los certificados S/MIME son iguales. El foro CA/Browser define varios niveles de validación, cada uno proporcionando un grado diferente de garantía de identidad:
El nivel más simple. La CA solo confirma que el solicitante controla la dirección de correo electrónico. El certificado contiene la dirección de correo electrónico pero no un nombre personal u organizacional verificado. Adecuado para usuarios individuales que necesitan firma y cifrado básicos.
La CA verifica el nombre real del individuo's además de la dirección de correo electrónico. El campo Subject del certificado's incluye el nombre de la persona's, proporcionando a los destinatarios una mayor seguridad sobre quién envió el mensaje.
La CA verifica la identidad legal de la organización's y que el dominio de correo electrónico le pertenece. El certificado muestra el nombre de la organización's, que es la opción estándar para las empresas que implementan S/MIME a gran escala.
Una variante donde un patrocinador empresarial garantiza a los usuarios individuales dentro de la organización. Esto combina la confianza organizacional con la identificación por usuario, comúnmente utilizada en contextos gubernamentales y de defensa.
La mayoría de los despliegues empresariales utilizan certificados OV emitidos por una CA interna o comercial. Cuando una interna CA se utiliza, la organización mantiene el control total sobre la emisión y revocación, y los certificados son confiados automáticamente en todos los dispositivos unidos al dominio.
S/MIME es una tecnología madura y bien comprendida, sin embargo muchas organizaciones tienen dificultades con su despliegue. Los desafíos son menos sobre el propio protocolo y más sobre la complejidad operativa:
Si la clave privada del empleado se pierde (debido a una falla del dispositivo, salida o reinicio), cada mensaje cifrado con esa clave se vuelve permanentemente ilegible. Las organizaciones deben implementar custodia de claves: archivando de forma segura las claves de cifrado para que los mensajes puedan recuperarse cuando sea necesario. Esto es distinto de las claves de firma, que deben nunca ser custodiadas (para preservar la no repudio).
S/MIME requiere que cada participante tenga un certificado. Si un usuario envía un mensaje cifrado a un colega que no tiene certificado S/MIME, el mensaje no puede entregarse en forma cifrada. Desplegar certificados a miles de usuarios, y educarlos sobre lo que significan los correos firmados y cifrados, requiere una gestión cuidadosa del cambio y gobernanza de políticas.
Los usuarios leen el correo electrónico en portátiles, teléfonos y tabletas. La clave privada debe estar disponible en cada dispositivo, lo que introduce complejidad en la seguridad y el aprovisionamiento. Algunas organizaciones utilizan soluciones MDM para enviar certificados automáticamente; otras dependen de archivos PKCS#12 que los usuarios importan manualmente. Ambos enfoques tienen compensaciones.
Los certificados S/MIME expiran, típicamente cada uno a tres años. Una organización con 10,000 empleados necesita renovar 10,000 certificados de forma continua. Sin automatización, esto se convierte en una carga operativa constante que los equipos de TI temen, especialmente porque un certificado expirado rompe silenciosamente la firma y el cifrado.
Para cifrar un mensaje, el remitente necesita el certificado público del destinatario. Internamente, a menudo se publican a través de Active Directory o LDAP. Para destinatarios externos, no existe un directorio universal. Algunas organizaciones utilizan repositorios de certificados, mientras que otras dependen del intercambio inicial de correo firmado para almacenar en caché los certificados.
Automatizar la inscripción S/MIME: Evertrust CLM se integra con Active Directory y proveedores de identidad para emitir automáticamente certificados S/MIME cuando los usuarios se incorporan, y revocarlos cuando se van.
Depósito centralizado de claves: Evertrust archiva de forma segura las claves de cifrado para que los correos electrónicos cifrados sigan siendo recuperables incluso después de que un empleado se vaya o pierda su dispositivo, todo mientras mantiene las claves de firma sin depósito para la integridad legal.
Emisión desde su propia CA: Evertrust PKI le permite ejecutar una Autoridad de Certificación interna que emite certificados S/MIME confiables en toda su infraestructura, sin depender de los precios comerciales de CA por usuario.
Monitoreo del ciclo de vida: Rastrear cada certificado S/MIME en toda la organización desde un único panel, con alertas automáticas de renovación y aplicación de políticas para evitar lapsos.
