Cifra tu correo

Cuando hacemos una transferencia bajo https o utilizamos la firma digital en la Red, transmitimos de manera segura y oculta mensajes que no queremos que caigan en manos de personas distintas a sus destinatarios

NIVEL: INTERMEDIO

Por mucho que nos preocupe el tema de la seguridad, la realidad es que de un día para otro no podemos empezar a enviar todos nuestros e-mails cifrados porque la mayoría de los destinatarios no sabrían ni qué hacer con ellos. En muchos casos, enviar nuestros adjuntos en ZIPs protegidos con contraseña puede ser más que suficiente. No obstante, este práctico está pensado para aquellos que quieran mandar un correo con un adjunto de una manera extremadamente segura. ¿Cómo de segura? En teoría, el objetivo es convertir el contenido de nuestro mensaje en un ciphertext que no pueda ser roto con la tecnología actual, aunque quizás en veinte años los ordenadores serán capaces de merendarse cifrados como estos en fracciones de segundo.

Paso 1. Instala GPG 4win

Gpg4win es un paquete de programas para entornos Windows que incluye como componentes principales GnuPG, la aplicación encargada del cifrado, y Kleopatra, un gestor de certificados X.509 y OpenPGP. Este último es el único componente con el que tenemos que interactuar para conseguir nuestro objetivo. Si trabajamos con Mac o Linux, accederemos a otras soluciones desde GnuPG.

El proceso de instalación es sencillo. Descargamos el ejecutable desde el apartado Downloads y mantenemos las opciones de instalación por defecto. La configuración original no incluye la instalación de Claws Mail, el gestor de correo incluido dentro GPG 4win, ya que pretendemos cifrar nuestro e-mail alterando lo menos posible el proceso que seguimos para gestionar nuestro correo habitualmente; es decir, podéis seguir este práctico independientemente de que uséis cualquier programa del mercado. De hecho, el resultado lo podríamos enviar a través de Skype o Messenger, o guardarlo en un CD o pendrive y mandarlo por correo postal, y seguiría siendo totalmente seguro.

Paso 2. Certificado personal

GnuPG, también conocido como GPG, es un alternativa gratuita a PGP, los dos cifran sus mensajes con claves asimétricas. Podría decirse que es como si alguien nos diera una caja de candados abiertos, pero que conservara en su poder la llave que permite abrirlos todos. De esta manera, cualquier persona que haya recibido un candado podrá meter un documento secreto en una caja y cerrarla, aunque solo el portador de la llave podría abrirlo. Este sistema es un avance con respecto a los de clave simétrica, en los que los dos usuarios deben de disponer de la clave (llave), que es la misma para encriptar como para desencriptar.

En los sistemas asimétricos, distribuir «candados» por vías inseguras como Internet no entraña ninguna brecha de seguridad porque, a partir del candado, es prácticamente imposible descubrir la llave. Aproximándonos más a la terminología correcta, en GnuPG, el candado es nuestra clave pública, y ahora vamos a ver cómo nos creamos una.

Lo primero es ejecutar Kleopatra, que es el único programa con el que vamos a interactuar. En el apartado File, elegiremos la opción New Certificate e iniciaremos el asistente para crear un certificado personal OpenPGP. Será necesario rellenar nuestro nombre y la dirección en la que esperamos recibir los e-mails que se envíen cifrados con este certificado, así como una contraseña buena como para que el asistente la califique como de 100% de calidad. Una vez concluido el proceso, finalizaremos el asistente y veremos que el certificado se ha incorporado a la pestaña My Certificates de Kleopatra.

Paso 3. Envío de claves

Para enviar nuestra clave pública desde la pestaña My Certificates, seleccionaremos el certificado que acabamos de crear y elegiremos en el menú contextual la opción Export certificates, lo que genera un fichero con un bloque enorme de texto en su interior. Lo más sencillo será adjuntar el archivo, aunque también podremos copiar el contenido dentro del propio mensaje. Por su parte, con nuestro destinatario sucederá de hecho algo similar, esto es, habrá recibido por e-mail o a través de cualquier otro medio un fichero similar al nuestro. Guardaremos ese archivo en nuestro disco duro y, utilizando Kleopatra, lo importaremos (File/Import Certificates), pasando a incorporarse a la pestaña Imported Cetificates.

Paso 4. Cifra el adjunto

Vamos a imaginar que en nuestro e-mail secreto queremos enviar un PDF que contiene un plan para dominar el mundo. Para encriptarlo, pulsaremos desde Kleopatra en el icono del candado Sign/Encrypt Files y seleccionaremos el archivo que queremos proteger. En el asistente elegiremos la opción Encrypt , lo que nos conducirá a una pantalla donde elegiremos el certificado con el que queremos realizar la operación. Lo añadiremos pulsando sobre Add. El asistente nos recomienda que añadamos uno de nuestros certificados, además del de nuestro destinatario o no descifraremos nuestro propio adjunto. El resultado es un fichero con un nombre similar al original, pero con extensión GPG.

Paso 5. Encripta el texto

No estaríamos siendo del todo profesionales si el texto de nuestro mensaje viajara sin cifrar, así que, cuando lo tengamos terminado, lo copiaremos en el Portapapeles. A continuación, haremos clic con el botón derecho del ratón en la Bandeja de sistema, sobre el icono de Kleopatra y elegiremos la opción Clipboard/Encrypt. Aparecerá un asistente en el que tendremos que seleccionar el certificado del destinatario del correo. Continuaremos con el proceso y recibiremos un mensaje de éxito. El resultado de cifrar el texto que copiamos nos es devuelto a través del propio Portapales, por lo que solo tendremos que volver a nuestro e-mail y pegar el mensaje cifrado encima de nuestro mensaje original. El texto cifrado debe ser el único contenido de nuestro correo, y tendremos en cuenta que el Asunto es la única parte que no queda protegida.

Paso 6. Descifra el correo

Una vez que ya tenemos todo el contenido de nuestro e-mail cifrado, podremos enviarlo por correo con la tranquilidad de que, aunque sea interceptado, es prácticamente imposible descifrarlo sin la llave correspondiente. Cuando el destinatario reciba el mensaje, tendrá que realizar exactamente las mismas operaciones que hemos hecho nosotros, pero en sentido contrario. Lo primero será copiar el texto cifrado que contiene el e-mail en el Portapapeles incluyendo la cabecera (-----BEGIN PGP MESSAGE-----) y el pie (-----END PGP MESSAGE-----), hacer clic con el botón derecho del ratón sobre el icono de Kleopatra en la Bandeja de sistema y elegir la opción Clipboard y después Decrypt/Verify, introduciendo su clave secreta para que se pueda completar el proceso. El resultado descifrado quedará volcado de nuevo en su Portapapeles, desde donde lo podrá pegar en cualquier editor de texto para poder leerlo cómodamente.

A continuación, tendrá que descifrar el adjunto. Para ello, lo guardará en su disco duro y después lo arrastrará a la ventana de Kleopatra o hará clic sobre el icono Decrypt/Verify Files, indicando a la aplicación dónde se encuentra el archivo cifrado. Posteriormente, pulsará sobre Decrypt/Verify y recibirá un mensaje de proceso finalizado con éxito, quedando el fichero resultante depositado en el mismo lugar desde donde se recogió la versión cifrada.

Toda esta seguridad está basada en que se ha recibido la auténtica llave pública. Si alguien ha sido capaz de suplantarle y facilitarte su propia llave pública, estaríamos ante lo que en criptografía se denomina un ataque man-in-the-middle (MitM). Más allá de este escenario de película de espía, ¿cómo sabe tu destinatario que eres tú quien envía el mensaje y no otra persona? Firmándolo, tanto GnuPG como GPG ofrecen al remitente la posibilidad de firmar sus mensajes. La firma se realiza con la clave secreta y puede ser verificada con clave pública (es posible firmar un documento aunque no lo cifres si bien lo más normal es combinar ambos procesos). Al proceso de comprobar una firma se le llama Verificar.

Dependiendo de nuestro gestor de correo, podremos encontrar distintos plug-ins y aplicaciones que se integrarán con él para que todas las tareas explicadas sean más transparentes, pero lo bueno del procedimiento descrito es que es completamente independiente del gestor de correo, lo que lo convierte en una solución ideal para cifrados esporádicos.