uso seguro del correo

electrónico
Introducción

En la medida que se van incorporando más usuarios al uso de la comunicación

electrónica, en especial el correo electrónico (CE), y dado que todavía existe un
alto grado de desconocimiento en cuanto a lo que a la seguridad se refiere, no
solo de la privacidad, sino también de todos los aspectos que conllevan a un daño
moral o patrimonial del usuario, en el presente documento vamos a destacar
algunos aspectos de interés para el uso del correo electrónico con seguridad y que
sean una guia para los usuarios actuales y aquellos que recién adoptan la
tecnología con poco o casi nada de conocimientos para su uso seguro.

El mundo de la comunicación electrónica esta altamente cargado de incidentes

diarios de seguridad, razón por la cual observamos que el proceso para su
adopción o uso rutinario esta cargado pasos que restringen su uso, preservación
de los datos de los usuarios, contraseñas y otras barreras que buscan proteger
información de todo tipo del usuario y de las instituciones de particular interés.

Es por esta razón por la que los equipos de administración y seguridad hacen
especial énfasis en la fortificación y configuración segura de los sistemas que
ofrecen estos servicios a los usuarios, eliminando así en la medida de lo posible la
exposición del usuario final a estos riesgos (sustitución de identidad, correos no
deseados o basura, amenazas persistentes, entre otras).

Por un lado, los administradores de los servicios de correo hacen muchos

esfuerzos por buscar medidas de seguridad que no solo protejan a los usuarios de
estas amenazas, sino también tratan de educar a los usuarios para un mejor de
desempeño para el uso de este recurso y como evitar ser víctimas de estas
acciones.

1
En el presente trabajo se resaltan por un lado los elementos básicos de la
seguridad a nivel de los proveedores del servicio de CE e igualmente se orientan a
los usuarios, sobre todo a los que recién se incorporan a su uso, sobre las
acciones más elementales para hacer un buen uso de el y de que deben hacer y
conocer para evitar ser vulnerables ante los ataques de mala fe que están en el
día a día de los servicios de la Web.

¿Qué hacen los administradores de los servicios de CE?

En general desarrollan lo que se llama el “entorno seguro”, ubicando los

servidores de correo en zonas de la red suficientemente aislada y controlada en la
zona llamada DMZ o red perimetral, red local que se ubica entre la red interna de
una organización y una red externa de la red, la cual convenientemente aislada del
resto de las redes de la empresa de servicio se convierte como un cortafuegos
que filtra los accesos desde Internet hasta los servidores, también como desde
estos al resto de redes hacia la empresa. En estos cortafuegos se van a permitir
solo el acceso a los servicios expresamente habilitados para el correo (SMTP,
POP e IMAP) y negar cualquier otro tipo de acceso a los servidores de correo.

Por otro lado, desde los servidores se han de cumplir con una serie de requisitos
de seguridad entre las cuales tenemos:

 Permitir solo la instalación de los servicios y aplicaciones necesarios para la

prestación del servicio y eliminación o, en su defecto, desactivación de
todos aquellos servicios que no son imprescindibles para el servicio o para
la administración de los equipos.
 Mantener un inventariado de sistemas y versiones de aplicaciones, con
objeto de poder aplicar correctamente y de manera ágil las actualizaciones
y parches del sistema operativo y aplicaciones, especialmente aquellos que
impliquen algún problema de seguridad.
 Mantenimiento de una política de gestión de usuarios, control de accesos y
permisos que permita la correcta administración de los servidores para que,
a su vez, garantice la confidencialidad de la información alojada.

2
  Monitorización continua y revisión y auditorías periódicas para la detección
de amenazas o mejora de los servicios.
 Establecer una serie de medidas de seguridad específicas para los
servicios de correo electrónico que respondan a las necesidades propias de
dicho servicio y a los problemas que con más frecuencia afectan a estos,
con revisión de las configuraciones establecidas y comprobar que se
cumplen una serie de requisitos mínimos de seguridad.
 Garantizar la autenticación en la configuración del servicio, permitiendo
únicamente el envío a clientes de correo autenticados, con lo que solo se
permitiría la utilización de la plataforma de envío a los usuarios legítimos del
sistema.
 Restringir el envío de correos únicamente a las direcciones IP de la red de
usuarios o de aquellos servicios que estén autorizados para el envío de
correos.
 Utilizar medidas (DKIM, SPF, DMARC1) en los servidores que verifiquen los
servidores autorizados para enviar correo para cada dominio.
 Establecer mecanismos de filtrado de mensajes (antivirus y antispam) que
eliminen o, al menos, alerten sobre posibles amenazas que provengan de
mensajes maliciosos.
 Finalmente, se debería realizar una auditoría de seguridad de la plataforma
completa para verificar que se cumple nuestra política de seguridad y,
además, para comprobar que no existen vulnerabilidades en los sistemas
de correo ni en los métodos de acceso a este. Esta auditoría debería
repetirse periódicamente para revisar que todos los sistemas están
actualizados y verificar que siguen sin fallos de seguridad conocidos.

¿Qué pasa con la seguridad a nivel del cliente de CE?

Los clientes de CE son uno de los puntos más críticos del servicio por tres motivos
principales: a) suelen estar menos controlados y monitorizados que las
plataformas de CE; b) son el punto de entrada de la mayoría de las amenazas en
los equipos de escritorio; c) y, los usuarios no suelen tener unos conocimientos

3
avanzados sobre la gestión de dichos clientes ni de las configuraciones idóneas
de estos.

Los clientes de correo deberían configurarse de manera segura y, si es posible, de

manera que los usuarios no pudieran modificar esta configuración, con objeto de
evitar posibles errores por la manipulación de esta.

¿Qué debe hacer el cliente de CE para no ser vulnerable?

Son muchos y variados las pautas que deberían tener en cuenta cualquier usuario
de CE para tener garantía de que no solo goza de un servicio seguro de CE, sino
que también practica buenas normas de uso que complementan la seguridad que
ofrecen los proveedores.

Conocer sobre el método de acceso y los proveedores del servicio de

CE

Para cualquier usuario de CE, los conocedores y los nuevos que se incorporan a
su uso, existen unos aspectos importantes de deberían considerar, como por
ejemplo los métodos de acceso a su cuenta de correo, bien sea que lo haga desde
un equipo de escritorio o navegador, con buenos proveedores del servicio, por
ejemplo, Outlook, Gmail, Yahoo, iCloud, Thunderbird, Hotmail, entre otros,
establecer ciertas medidas de seguridad sobre el sistema operativo del equipo y,
posteriormente, realizar una configuración segura del cliente de correo o del
navegador.

Estos proveedores de CE igualmente toman medidas de seguridad para evitar las

posibles amenazas por vulnerabilidad para lo cual: utilizan protocolos seguros
(SSL/TLS) tanto para el envío como para la recepción de correos; desactivan la
carga de contenidos externos y la reproducción automática de contenidos
(JavaScript, ActiveX, entre otros); No almacenan las contraseñas en la
configuración del cliente de correo para evitar acciones automáticas sin el
conocimiento por parte del usuario.

4
Consejos de interés para los usuarios de CE

Asegúrese de que los sistemas operativos y las aplicaciones estén siempre

actualizadas para evitar fallos de seguridad en los mismos. Mantener al día los
parches y actualizaciones el sistema operativo y aplicaciones instaladas en el
ordenador (especialmente el antivirus), evita que muchos virus se aprovechan de
esas vulnerabilidades para infectar los equipos.

Cerciórese de que además de los antivirus instalados en los servidores de correo,

los equipos tengan un software antivirus propio, y de ser posible de otro fabricante,
para evitar infecciones por virus. Igualmente, de acuerdo con lo comentado
anteriormente, que los equipos tengan activado el servicio de firewall.

Proteja las claves asociadas a los buzones de CE, evitando su divulgación a

terceras personas. En caso de pérdida o robo de tus claves de correo, cambialas
lo antes posible.

Proporcione su dirección de correo con moderación. Utiliza, siempre que sea

posible, una cuenta gratuita para el registro en páginas web, ya que podrían enviar
publicidad no deseada.

A veces es un hecho muy común que los mal intencionados envían correos a
nuestras cuentas intentando la propagación de los códigos maliciosos, los cuales
se originan de la ingeniería social y tratan de convencer a los usuarios de que esta
información es verdadera. En estos casos la idea de tener múltiples cuentas, una
cuenta laboral, una personal para familiares y amigos y, por último, una tercera
cuenta para usos generales, en dónde recibir todos los correos de poca o nula
importancia, es una idea que ayuda a evitar este tipo de acciones.

En el caso de que lo anterior ocurra, por lo general, los proveedores de CE

también nos dan la posibilidad de que activemos el desvío de los llamados correos
spam, los cuales, con los filtros adecuados, son inmediatamente colocados en
carpeta aparte a los recibidos para que luego podemos discriminar sobre ellos y
proceder a su eliminación inmediata.

5
El spam o correo basura son los mensajes no deseados que hacen referencia a
publicidad, pudiendo además contener virus. Estos mensajes deben eliminarse sin
ser leídos para evitar el aumento de la cantidad de dicho correo basura en el
buzón así́ como la posibilidad de intrusión de virus en el sistema.

No acepte documentos ni archivos adjuntos provenientes de desconocidos o que

tengan un origen poco fiable. Se debe prestar atención al CE con datos adjuntos
susceptibles de contener virus. Algunos mensajes pueden aparecer como
provenientes de otra persona distinta del autor. Aplique su sentido común antes de
asumir que un mensaje es válido.

En la categoría anterior, muchas veces se incluyen las famosas cadenas de correo

que son utilizadas de manera especial por estos amenazadores. El estar bien
consiente de que esta vía es un área de vulnerabilidad, evita que se propaguen
este tipo de amenaza. Algo de mucha importancia en este punto es que se debe
evitar ejecutar la acción de “replay to all” ya que se cometería un proceso de
diseminación de las amenazas. Es recomendable recurrir prontamente antes de su
apertura al análisis con los programas antivirus.

Utilice correctamente el campo asunto. Es muy importante tener el cuidado de al

contestar un CE y al hacer el replay identificar en el asunto del correo que el sujeto
esta siendo respondido o hacer un cambio en lo escrito en este, esto facilita la
comunicación y garantiza certeza de que el correo proviene de un remitente
seguro.

Asegúrese de visitar la carpeta de los correos spam o basura porque a veces,

sobre todo cuando estamos afiliados a páginas o a grupos que envían correos
frecuentes, los mismos pueden ser percibidos por el proveedor del servicio como
correo de esta categoría, y después de cierto tiempo pueden llegar a bloquear el
IP de procedencia.

Sea acucioso, responda solo los mensajes que considere validos. Atienda los
mensajes pertinentes a su responsabilidad. Una buena práctica ante los asuntos
de interés es responder, cuando sea posible, con un acuse de recibido.

6
El usuario de CE debe tener siempre presente que el desorden en las carpetas del
correo podría ser una vía potencial de vulnerabilidad, se debe llevar un adecuado
control de los correos que se reciben, para poder así fácilmente detectar la
procedencia de estos, los de nuestro interés y los que no.

Cree carpetas, establezca reglas y filtros para su clasificación, y finalmente haga

limpiezas periódicas de aquellos correos que no necesitan ser almacenados y
sobre todo los de la carpeta de los archivos basura.

Igualmente, realize un mantenimiento periódico de los usuarios suscritos a tus

listas, tratando de evitar suscripciones no deseadas, direcciones de correo
sospechosas, y direcciones de correo que rebotan constantemente los correos
que les enviás.

Desconfíe de los correos de supuestas entidades bancarias que te soliciten

introducir o modificar tus claves de acceso. No es la forma de proceder de las
entidades legítimas y probablemente se trate de un intento de fraude. Ante
cualquier duda contacta con tu entidad.

A veces es recomendable desactivar la función de “vista previa” en clientes de

correo como Outlook Express para evitar la intromisión de virus, ya que se han
reportado algunos casos.

Conclusiones

La indicación de algunos aspectos básicos para usuarios de correo electrónico,

sean estos expertos o de nueva incorporación a su uso, después de haber
entendido el documento base para el presente trabajo, no es enseña que estos no
se pueden concretar a una simple lista de instrucciones, dado que los aspectos de
las buenas prácticas para su uso involucran no solo el usuario sino a todo el
ambiente que soporta el servicio de correo electrónico.

Con esto en mente, podemos concluir que los primeros pasos para un buen uso
confiable y con seguridad, surgen de las implementaciones que se realicen en la
red y plataforma que gobierna el servicio. Los proveedores establecen reglas y

7
protocolos que deben ser cumplidos a cabalidad para la garantía de reducir el
grado de vulnerabilidad que siempre esta presente en el uso de estos medios de
comunicación. Además de los protocolos, las redes, servidores y equipos
personales cuentan con programas de inspección de correo electrónico que
protegen el servicio en una gran proporción.

Sin embargo, el desarrollo de unas prácticas mínimas de buen uso del servicio por
parte de los clientes o usuarios, representa el complemento necesario para que no
solo se pueda confiar en que las comunicaciones van a fluir de manera esperada,
sino que también va a ser una garantía de que no se van a producir violaciones o
daños alguno a la privacidad personal o patrimonial, ni de los usuarios o en
cualquier otro punto especifico de las redes por las que se mueve la información
que se envía o recibe.

Con el mantener en consideración y la regularidad de aplicación de los aspectos

aquí señalados, se puede decir que se cumplen ciertas normas, entre otras,
mínimas para el desarrollo de buenas prácticas en el uso del correo electrónico
por parte de cualquier usuario.

Referencias Consultadas

10 buenas prácticas en el uso del e- mail en el trabajo. Consulta en línea en la

URL: http://emailtrabajo.blogspot.com/2009/06/10-buenas-practicas-en-el-uso-del-
e.html
5 buenas prácticas para los correos electrónicos. Consulta en línea en la URL:
https://www.welivesecurity.com/la-es/2011/07/01/5-buenas-practicas-para-los-
correos-electronicos/
5 cosas que nunca debes hacer al usar el correo electrónico. 2012. Consulta en
línea en la URL: https://hipertextual.com/archivo/2012/09/5-cosas-que-nunca-
debes-hacer-al-usar-el-correo-electronico/
Buenas prácticas con el correo electrónico. 2017. Consulta en línea en la URL:
https://www.cdmon.com/es/blog/buena-praxis-con-el-correo-electronico
Buenas prácticas del uso del correo electrónico. 2018. Consulta en línea en la
URL: https://wsicreate.com/buenas-practicas-del-uso-del-correo-electronico/
Buenas prácticas en el uso del Correo. 2011. Consulta en línea en la URL:
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&ved=2ahU

8
KEwjKhYSio6rjAhVKQ80KHQWKA5MQFjACegQIARAC&url=https%3A%2F%2Fw
ww.arsys.es%2Fd%2FBuenas-practicas-en-el-uso-del-
Correo.pdf&usg=AOvVaw3GFRiBAvRMsRiOWy8yLFa4
Buenas prácticas en la redacción y el uso del correo electrónico. 2016.
Herramientas de desarrollo personal y profesional. Consulta en línea en la URL:
http://pablo.com.py/wp-content/uploads/2016/04/Buenas-prácticas-correos-
electronicos.pdf
Buenas prácticas para el uso del correo electrónico: 2014. Consulta en línea en la
URL: http://activasolutions.com/buenas-practicas-en-el-uso-del-correo-electronico/
Correo electrónico seguro. Seguridad y confianza digital.
SeguridadenCorreoElectronico.pdf. Material base documental proporcionado para
los fines de esta investigación. 9 pp.