Share on Google+Share on FacebookTweet about this on Twitter

La verdad es que es una de esas entradas en las que puede cruzarse en cierto modo con el mundo de iPod Touch o iPhone.

La cuestión es que raro es el día que por un lado o por el otro me asaltan con preguntas del tipo:

“Como puedo configurar una cuenta de Hotmail en mi iPod Touch?”
“No puedo acceder por Safari a Hotmail”

Y sinceramente la verdad es que la mayoría de las veces siempre insto una y otra vez a cambiar las cuentas de hotmail por las de Gmail. Comprendo evidentemente que esto se dice más fácil de lo que se hace, y que muchas personas no ven este cambio tan claro por una serie de razones, totalmente comprensibles ellas: Excesticismo, Costumbre, Desconocimiento, inseguridad…

Muchas veces nos agarramos a lo que ya tenemos y decimos: ¿Si funciona para que cambiar?. Hombre… si hubiésemos pensado igual durante toda la historia, aun caminaríamos con taparabos y usando candiles. Hay a veces que el uso de una tecnología u otra no implica que una u otra sea mejor o peor, a veces es tan solo diferente, o mejor o peor dependiendo a que nos refiramos. En cambio muchas otras veces una tecnología es simplemente superior a otra, como es el caso que nos atañe.

Van a aparecer algunos términos que para quien no los ha oido nunca quizás le suenen a chino, pero creo que aunque sea brevemente, creo que es bueno tenerlos al menos claro, aunque no llegeis a comprenderlos perfectamente:

MUA: Cliente o gestor de correom como por ejemplo Thunderbirth, Eudora, Outlook…
POP: Protocolo para recepción de correo. Facil de implementar, su función es básicamente descargar los correos que se encuentren en el servidor de correos de nuestro proveedor
IMAP: Protocolo para la recepción de correo. Es más complejo que POP, y a diferencia de este, con IMAP no se descarga el correo del servidor, digamos que IMAP es una ventana al servidor, de modo que si eliminamos algo lo eliminamos del servidor, si movemos, movemos…
SMTP: Protocolo para el envío de correos. Escribimos un correo en nuestro MUA, pero nuestro PC no dispone de un servidor de mensajería. Luego mediante SMTP se realiza una conexión al servidor de corre de nuestro proveedor y se envía a través de él.
Webmail: No es un protocolo, es un servicio web que nos permite consultar, escribir, enviar… correos a través de una web. Tiene la ventaja de ser independiente a los diferentes MUA, el inconveniente es la falta de seguridad normalmente, la carga innecesaria de contenidos…
SSL/TLS: Tanto SSL como TLS son protocolos para transferencia de datos de forma segura. Se asegura que lo que se envía desde A sea recibido por B sin que un C en medio sea capaz de leerlo. Las comunicaciones SSL/TLS se hacen por medio de certificados digitales, y es la forma más extendida de seguridad en la red a día de hoy. Las páginas https, esa S es de “secure”, e implica el uso de una de estas tecnologías. Pero esto mismo se usa para el correo.
GPG/PGP: Sistemas de cifrado y firma por medio de sistemas de clave pública
Firma digital: Un mecanismo por el cual se puede certificar al 100% que el remitente del correo es quien dice ser

Vuelvo a repetir que no quita que pueda comprender o no los motivos por los cuales cualquiera de vosotros continua usando otros proveedores. Tan solo pretendo hacer un repaso generalizado de lo que es, desde mi punto de vista, un buen servicio de correo electrónico frente a otro que no lo sea, y explicar por qué. Evidentemente si mis letras logran persuadir a algunos de mis lectores, me alegraré el doble. Y si no, al menos me contentaré de saber que hemos aprendido algo más.

Antes de que nadie salte, sí, yo tengo una cuenta de correos @live.com (está escrita en el panel derecho), y sí, el proveedor de dicha cuenta es MicroSoft y usan el mismo sistema de hotmail. La tengo por cuestiones de MS que ahora mismo no vienen al caso y evidentemente no es ni mi cuenta de correo principal ni mi cuenta de Windows Live Messenger principal. Todas mis cuentas principales (por así llamarlas) pertenecen a Gmail y a dominios propios, usando mi propio servidor de correos.

Está claro que por deficiente que pueda ser un proveedor de correo electrónico nos permite enviar o recibir correos, adjuntar archivos y creo que a día de hoy el 100% usan un sistema u otro de filtros contra el SPAM. ¿Pero es esto suficiente? ¿Que diferencias podemos encontrar entre un proveedor y otro? Muchas características no dejan de ser extras que tampoco tienen demasiado impacto final, son eso, extras. Otras características en cambio pueden ser tan necesarias e imprescindibles que perfectamente pueden hacernos decantar por uno u otro proveedor.

Para mi un buen servicio de correo electrónico pasa por algunos mínimos, y no hablo de extras que nos endulzan la vida, me refiero a mínimos, los cuales creo que son a día de hoy completamente imprescindibles. Y es a partir de aqui donde poco a poco intentaremos hacer un mapa mental sobre todos los proveedores que podemos encontrar, e ir descartando uno u otros. Por comodidad lo he enfocado a Gmail y Hotmail, pero evidentemente se puede extrapolar a cualquier otro proveedor, no solo Google y Microsoft. También hay que tener en cuenta algo… el precio. Hay proveedores que son de pago, y al ser de pago también podemos y debemos exigir cierto tipo de características que no podríamos en el caso de otros gratuitos. Pero todo esto lo veremos poco a poco. Como he dicho, comenzamos con lo que sería para mí unos mínimos a día de hoy en un servicio de correo electrónico:

-Sistemas de acceso:

Evidentemente el 99% de la población no tiene acceso físico a los servidores (las máquinas en sí) donde se almacenan y se gestionan los correos. Son esos servidores los que en realidad envían o reciben nuestros correos. Para poder interactuar con ellos necesitamos por lo tanto sistemas de acceso a dichos servidoes. A día de hoy existen 3 sistemas fundamentalmente para ello si nos referimos a cuanto a recepción de corroe se refiere: El acceso por web, el acceso mediante el protocolo POP y el acceso mediante el protocolo IMAP. Cada uno de ellos tiene ventajas e inconvenientes. En lo referente al envío de correos es más simple, y se hace generalmente mediante el acceso por web o mediante el protocolo SMTP.

Digamos que estas son las herramientas de las que podemos disponer cuando hablamos de correo electrónico. Dado que cada método de acceso tiene sus pros y sus contras, es evidente que lo ideal será tener al alcance cualquiera de ellos. El 99% de TODOS los proveedores de servicios de email gratuitos dan soporte al menos para el acceso a web y acceso por POP o IMAP (evidentemente SMTP para el envío de correos también). Normalmente se usa POP por ser más simple, normalmente es preferible usar IMAP. Sin POP o IMAP automáticamente cualquier usuario se verá enormemente restringido.

El acceso web tiene muchas ventajas… pero muchos defectos.

La mejor cualidad del acceso web es que nos sirve para poder consultar en cualquier momento, estemos donde estemos nuestro correo sin necesidad de configurar una cuenta POP/IMAP por ejemplo, o que es completamente independiente del MUA usado

Por el contrario, para uso habitual el acceso web es un problema. Primero el tiempo consumido en abrir un explorador, ingresar la dirección, identificarse, esperar a que carge y… para al final disponer de una plantilla web relativamente compleja, pero que no puede competir nunca con un MUA. En un dispositivo portatil el problema es aun mayor. Primero porque estas web se hacen con tecnologías que pueden no estar presente en navegadores portátiles (AJAX, Cookies, JavaScript, JAVA, Flash…), segundo porque un dispositivo portatil no es capaz de procesar a la velocidad tan elevada de un PC la información recibida, la cantidad de datos a cargar… Imagínemos por ejemplo en la universidad o en la red del instituto o cualquier red abierta WIFI a la que te conectas para leer el correo. Si tienen cualquier filtro web podría suponer directamente que no poder leer tu correo!! nu filtro de cookies o javascript o… y no solo eso. Imagina el acceso desde un telefono o cualquier dispositivo en el que pagas por conexión. Tan solo acceder a hotmail (acceso web) para abrir el correo puede suponer una transferencia de 2-5Mb!! un acceso por IMAP o POP supondría nada

Para uso habitual el acceso POP/IMAP en cambio sería deseado. No podemos decir imprescindible, puesto que es posible hacerlo de otro modo, pero evidentemente las ventajas son claras. Frente al acceso web de hotmail por ejemplo se ganaría más de un 20000% de rapidez. ¿Cuanto tiempo se requiere en abrir explorador, abrir hotmail, identificarte (o incluso identificación automática)… datos reales? unos 20-30 segundos? Un acceso IMAP desde mi iPod Touch tarda 2-4 segundos. El tiempo de presionar un botón 3 segundos más para descargar el correo. Si te cobran por tiempo de conexión o por datos transferidos mejor ni hablar. Todo esto, sin contar también que los accesos web suelen estar plagados en mayor o menor medida por publicidad, lo que añade más datos a transferir, molestos banner…

Hotmail tan solo brinda acceso Web, luego será imposible configurar un MUA para hotmail, a menos que sea de MS. Esto hace de Hotmail uno de sus peores defectos. Gmail en contrapartida no solo dispone de acceso web, sino que también dispone de acceso POP y de acceso IMAP!! incluso de los 3 accesos simultáneos, todos ellos servicios gratuitos. Hotmail es posible configurarlo por POP… previo pago al més de lo que MS llama suscripción premium.

-Seguridad:

Quizás por extensión parece que los sistemas de accesos son muy importante (que lo son), pero tambien lo es en igual manera la seguridad. El concepto es claro, nadie quiere que su correo pueda ser leído por una tercera persona. Dentro de este concepto podemos identificar muchas partes diferentes. Podemos referirnos a lo mejor a seguridad frente a posibles métodos de obtención de nuestros datos, frente a posibles formas de espiar nuestra red, frente a posibles vulnerabilidades de los propios MUA o las web de acceso por web… etc.

Fráncamente no me considero una persona paranóica, pero soy de los que piensa que si la tecnología está, funciona, es fácil… ¿por qué no la vamos a usar? Hay sistemas que me permiten cerciorarme perfectamente que mi correo una vez sale de mi bandeja de salida tan solo será leído por mi destinatario. Pero esto se dice pronto, y en cambio es algo que a día de hoy es raro encontrar un buen proveedor que ofrezca sistemas de seguridad robustos. Y evidentemente si se requiere un grado superior de seguridad es necesario recurrir a los MUA para usarlos en conjunción con sistemas como GPG/PGP o firma y/o cifrado por certificados.

Así que vamos a analizar la seguridad entre las diferentes partes. Como es imposible hacer una comparación con todos y cada uno de los proveedores, y dado que lo que me hizo escribir esta entrada fue Hotmail Vs Gmail, vamos a comprar únicamente estos dos servicios, pero lo mismo se puede hacer para el resto. Podríamos analizar la seguridad hasta de los propios servidores en los cuales se alojan, pero esto sería más complejo y sería digno de mención de una sola entrada. Así que vamos a lo que podemos tocar y mascar facilmente.

Vamos a comenzar por la seguridad a lo referente al acceso por web.
Que es SSL/TLS? sirve para algo?. Digamos que cuando se realiza una transferencia de datos por SSL/TLS, se realiza una transferencia de datos encriptados, de modo que tan solo los dos extremos puedan ser capaces de desencriptar estos datos. Esto es necesario completamente por ejemplo cuando ingresamos en págins de compras por inet o enviamos datos confidenciales a la red. ¿Por qué? ¿A que nos referimos a que una tercera persona pueda ver dichos datos? Imaginemos que lo realizamos en una red pública como una universidad, el trabajo, lo que sea. Cualquiera conectado a la misma red que nosotros mismos podría sin complicación alguna y con un mínimo de conocimiento literalmente “leer” los datos que estamos enviando o recibiendo. Esto quiere decir que si pones tu tarjeta de crédito en un formulario no seguro y lo envías, otro por detrás sin tu conocimiento, podría estar capturando dichos datos. Pues lo mismo se aplica para el correo .Uno accede tranquilamente a hotmail y no sabe que por detrás de él, sin que él lo sepa, está leyendo exactamente lo mismo que él. Esto es real? no se puede evitar? Sí, si la conexión se hubiese realizado por SSL/TLS los datos interceptados carecerían de valor para esa persona, puesto que dicha persona sería incapaz de desencriptarlos.

Todo este proceso es completamente transparente al usuario, y con dos imágenes que expongo a continuación se deja completamente claro. En la primera imagen mostramos un acceso a Hotmail capturado por un Sniffer. En la segunda una imagen mostrando un acceso a Gmail capturado por el mismo Sniffer. En el primer caso he mostrado exactamente el frame “privado”, y se puede leer claramente el mensaje de correo que en ese momento tenía abierto en Hotmail. En la segunda imagen la cosa difiere bastante… no hay un frame que se pueda interpretar, todo está precidido por conexiones SSL/TLS:

Hotmail:

Gmail:

En el acceso a Web en Hotmail tan solo se protege con SSL/TLS la identificación, para que no se pueda capturar las credenciales, pero en cambio todo el resto se envía como texto plano!! como podeis ver en las imágenes. En el caso de Gmail evidentemente no se ve nada, simplemente un frame encriptado por SSL/TLS, mientras que en la pantalla de Gmail tenía abierto el mismo correo. En caso de Gmail podemos asegurar que mire quien mire desde el otro lado, tan solo nosotros podemos ver los correos.

Esto mismo se usa para el acceso por POP o IMAP. No podemos comparar aquí con Hotmail ni Yahoo por ejemplo, puesto que ambos carecen tanto de POP como de IMAP, a menos que se esté dispuesto a pagar por ello. Pero deciros que muchos proveedores de correo permiten el acceso por POP e IMAP sin hacerlo a través de SSL/TLS. Esto se traduce exactamente con lo mismo que hemos visto con anterioridad, cualquiera que escuche detrás podría leer con completa impunidad nestros correos. Decir que en el caso concreto de Gmail, tanto el acceso por IMAP como por POP como SMTP se hace a través de TLS, luego de nuevo, es completamente seguro. No pongo otra captura puesto que sería muy similar a la de Gmail y acceso web.

Otro punto a tener en cuenta es sin duda alguna uno de esos extras que no cuestan nada implementarlo y añaden un grado de seguridad y tranquilidad para los más desconfiados. Es simple, lógico y no constituye problema alguno su implementación. Pero de nuevo tan solo algunos proveedores nos brindan con soluciones de este tipo. Hablo de un simple registro de entrada. Si no recuerdo mal, yahoo en esta ocasión si incluye uno, al igual que también lo hace Gmail. Una vez más, hotmail suspende en ello. Pero para que sirve esto…

En el caso de Gmail, este registro nos mostrará los ultimos 5 accesos a nuestro correo. Pero no solo por web. Es decir, registrará cualquier acceso realizado por POP, IMAP, SMTP, iGoogle, webmail… quedando registrado la hora, el tipo de acceso y la IP. Esto puede parecer un poco inutil… en cambio podremos saber a este simple registro, sin mucho esfuerzo, si el acceso a nuestro correo lo hemos realizado nosotros o si por el contrario están accediendo sin autorización a nuestra cuenta. Gmail nos permite incluso a clic de botón expulsar cualquier otra conexión activa en dicho momento, imaginaros que están leyendo nuestro correo en el mismo instante en el que estamos dentro nosotros. Podremos expulsarlos:


Para poder acceder a este registro en Gmail, basta con ir al final de la página. De forma casi desaparcibida, se pude observar una imagen similar a la mostrada. Si presionamos en Details, obtendremos algo similar a esto:


Evidentemente y por cuestiones de seguridad he eliminado de forma parcial las IPs.

La segunda pregunta es inminente. Como podemos saber nuestra IP o si las IP mostradas pertenecen a nosotros o a otros usuarios? Bueno, la mayoría de los ISP asignan IPs dinámicas, luego sería para muchos complicado saber si el acceso es desde nuestra misma casa o no lo es. Hombre, lo normal es que si no se ha reseteado el modem, el router o no se ha modificado la IP, aunq esta sea dinámica, debería de durar bastante. La otra solución es simplemente consultarlo en las bases de datos whois. En el ejemplo mostrado por ejemplo, si hacemos una consulta en RIPE:

88.24.xxx.xxx:

inetnum: 88.22.37.0 – 88.26.184.255
netname: RIMA
descr: TELEFONICA DE ESPANA (NCC#2006112951)
descr: Provider Local Registry
country: ES
admin-c: ATDE1-RIPE
tech-c: TTDE1-RIPE
status: ASSIGNED PA “status:” definitions
mnt-by: MAINT-TdE
mnt-lower: MAINT-TdE
mnt-routes: MAINT-TdE
source: RIPE # Filtered

217.xxx.xxx.xxx

inetnum: 217.76.128.0 – 217.76.128.223
netname: NET-ARSYS-EURO-1
descr: arsys.es
country: ES
admin-c: ARO12-RIPE
tech-c: ARO12-RIPE
rev-srv: atlante.servidoresdns.net
rev-srv: prometeo.servidoresdns.net
status: ASSIGNED PA “status:” definitions
mnt-by: ARSYS-RIPE-MNT
mnt-lower: ARSYS-RIPE-MNT
source: RIPE # Filtered

Luego en este caso podríamos deducir claramente que el primer acceso se realizó desde una casa cuyo ISP era telefónica, pero en el segundo caso desde un supuesto servidor de Arsys, luego el acceso no autorizado en este caso procedería de algún conocido (o no) nuestro que trabaje alli.

Pero vayamos un grado de seguridad aun más allá. Con las medidas vistas, hemos evitado que una tercera persona sea capaz de leer nusetros correos, pero que pasaría si un usuario malintencionado se apodera de nestras credenciales (user y pass)? que sucede si queremos garantizar al 100% que nuestro correo es enviado por nosotros y que el destinatario así lo cree. Ahora aumentamos el grado de seguridad y hablamos de cifrado y firmado mediante certificados o mediante GPG/PGP. Es diferente una cosa a la otra. Una firma se usa para certificar que el mensaje fue enviado por nosotros y no por otra persona, pero el texto del mensaje, el contenido en sí, no será cifrado para nada. Esto es necesario pro ejemplo con documentos oficiales. La firma digital por ejemplo del DNI-e. Firmar un correo electrónico con nuestra firma electrónica daría validez total jurídica de dicho documento, como si lo hubiésemos firmado con puño y letra. La encriptación es diferente, la encriptación es la conversión del mensaje original por otro que no puede ser “leído, comprendido” a menos que se desencripte.

Para realizar todo esto hay dos formas extendidas, por medio de certificados digitales (hace falta tener un certificado de firma y/o de cifrado) o por medio de GPG/PGP. En realidad tanto un sistema como el otro son muy similares. Digamos que GPG/PGP se usa cuando no disponemos de un certificado validado por alguna entidad (suele costar dinero) o cuando queremos que no sea digamos con una valided estatal. Evidentemente para usar estos sistemas se requiere el uso de un MUA y la instalación de GPG/PGP en el caso de querer usarlo. Personalmente uso Thunderbirth con la extensión de Enigmail para trabajar con OpenGPG. Para trabajar con certificados digitales no tengo que hacer nada, el mismo Thunderbirth me da soporte:

Mensaje Cifrado y Firmado por GPG


Mensaje descifrado:


Para todos aquellos que tengan el DNI-e, como digo, basta con tener un lector de tarjetas inteligente, instalar el software correspondiente y poco más. El proceso es similar. Los correos firmados por certificados se envían como correos normales, pero se les adjunta un archivo P7S, que es la firma. La firma no es más que un hash calculado al cuerpo del mensaje protegido con nuestro certificado privado, de modo que cualquiera puede verificar si dicha firma es legítima o no. Si el cuerpo del mensaje varía lo más mínimo, la firma se invalidaría, y no se podría garantizar que el correo fue enviado por la presona que dice ser.

Evidentemente una vez más, esto es tan solo aplicable a aquellos que usen MUA, en el caso de hotmail o yahoo que tan solo cuentan con acceso web, pueden olvidarse del asunto.