Breaking news
Read our blog to learn why privacy matters. And don't forget to get an encrypted mailbox yourself!

Por qué Tutanota es el servicio de correo electrónico más seguro.

Encriptación completa, sin rastreo, código abierto... hay muchos factores que hacen de Tutanota el proveedor de correo electrónico más seguro del mundo.

2020-12-10
La privacidad y la seguridad son cada vez más populares, por lo que cada vez más servicios intentan promocionarse como los nuevos defensores de la privacidad. Sin embargo, estas afirmaciones son a menudo sólo afirmaciones de marketing. Hemos recopilado los hechos y explicamos en detalle por qué Tutanota es el servicio de correo electrónico más seguro del mundo.

En primer lugar: Al comprobar la seguridad y privacidad de cualquier servicio online, pregúntese siempre "qué datos están encriptados de extremo a extremo".

¿Por qué es importante la encriptación de extremo a extremo?

Esta pregunta se puede responder fácilmente: Sólo cuando los datos están encriptados de extremo a extremo, son realmente inaccesibles para el servicio en línea, así como para otros terceros. Es por eso que la encriptación de la mayor cantidad de datos posible debe ser lo primero.

Después de eso, también hay que mirar otras características de seguridad y privacidad, por ejemplo:

  • ¿Qué tan seguro es el diseño del proceso de inicio de sesión?
  • ¿Todos los clientes son de código abierto?
  • ¿Utiliza el servicio algún tipo de seguimiento?

La encriptación se ha introducido en el código

Tutanota es el servicio de correo electrónico más seguro del mundo porque protegemos sus datos en todos los extremos. Ya sea en nuestros servidores o en sus dispositivos: En Tutanota todos los datos están siempre encriptados de extremo a extremo.

Cuando se ofrece un servicio seguro, la gente confía en que haces bien la seguridad. Para nosotros, esto significa que nunca puede haber un compromiso cuando se trata de seguridad.

La seguridad debe ser incorporada en el código para que puedas añadir fácilmente la usabilidad por encima de eso, y no al revés.

Este concepto de "la seguridad primero" ha llevado a varias decisiones de desarrollo que hoy en día garantizan la seguridad de primera clase de Tutanota:

  • No usamos PGP, sino una implementación ligeramente diferente de AES y RSA, que nos permite encriptar muchos más datos (líneas de asunto), así como encriptar todas las demás características que añadimos a Tutanota, como contactos y calendarios.

  • No buscamos sus datos en el servidor porque están encriptados allí. En su lugar, construimos un índice de búsqueda encriptado, que se almacena localmente.

  • No ofrecemos IMAP, ya que sólo funcionaría si enviáramos los datos desencriptados a su dispositivo. En su lugar hemos construido nuestros propios clientes de escritorio de código abierto, que almacenan sus datos encriptados. Los clientes de escritorio también están firmados para que todos puedan verificar que el cliente está ejecutando exactamente el mismo código que el publicado en GitHub.

1. Cifrado de principio a fin

Desde el principio, nosotros en Tutanota introdujimos una encriptación de extremo a extremo en el código. Tutanota fue el primer servicio de correo electrónico encriptado de extremo a extremo del mundo y, hasta el día de hoy, es el servicio de correo electrónico que encripta más datos que cualquier otro proveedor de correo electrónico seguro.

Puedes comprobar aquí todos los datos que Tutanota encripta:

  • correos electrónicos, incluyendo líneas de asunto y archivos adjuntos
  • entradas del calendario, incluso metadatos como quién asiste
  • toda la libreta de direcciones, no sólo partes de los contactos

Tutanota encripta automáticamente todos los correos electrónicos entre los usuarios de Tutanota de principio a fin, lo que supone una gran diferencia para la seguridad online en su conjunto. Tutanota incluso permite enviar correos electrónicos encriptados de extremo a extremo a cualquiera.

Ende-zu-Ende encrypted email in Tutanota.

2. Nunca enviamos datos no encriptados

Cada vez que se comunique con Tutanota - recibir una notificación sobre un nuevo correo electrónico, ejecutar una búsqueda, introducir una entrada en el calendario, añadir un nuevo contacto a su libreta de direcciones - sus datos se envían siempre encriptados de principio a fin. Nunca enviamos datos no encriptados a través de notificaciones, y nunca permitimos que los datos no encriptados se almacenen en su dispositivo.

Incluso cuando buscas en tu buzón encriptado en Tutanota, el índice de búsqueda se encripta y almacena localmente antes de que puedas buscar tus datos con seguridad.

3. Calendario de cero conocimiento

Hemos construido el primer calendario encriptado de extremo a extremo. El calendario encripta todos los datos, incluso los asistentes a un evento se almacenan encriptados.

El calendario es de cero conocimiento porque incluso cuando se recibe una notificación de un evento próximo, hemos construido este servicio de recordatorio de tal manera que nuestros servidores nunca ven la notificación. Esto mantendrá a nuestros servidores en la oscuridad no sólo sobre el evento que tienes, sino también cuando tus eventos están teniendo lugar.

Cualquier calendario que tenga notificaciones por correo electrónico, incluso cuando esté encriptado, no puede considerarse como de conocimiento cero. Por eso hemos hecho todo lo posible para enviar notificaciones encriptadas directamente a los clientes de Tutanota, por ejemplo, en el escritorio o en el móvil. La gran ventaja de las aplicaciones para móviles es que también reciben estos recordatorios cuando no están usando la aplicación.

Revisa nuestro post sobre la primera versión del calendario para saber por qué las notificaciones encriptadas son tan importantes para proteger tu privacidad.

4. Enfoque en el código abierto

Hemos publicado todos los clientes de correo electrónico como código abierto para que los expertos en seguridad siempre puedan comprobar el código.

De esta manera nos aseguramos de que nunca pueda haber una puerta trasera de encriptación en Tutanota.

Además de este enfoque en el código abierto, no utilizamos ningún servicio de Google, como Google Push o Goggle reCaptcha, para asegurarnos de que este gigante de Silicon Valley no pueda rastrearte mientras revisa tu buzón seguro o tu calendario encriptado.

5. La mejor protección de acceso de su clase

Tutanota te permite crear la contraseña más segura, permitiéndote elegir una contraseña tan larga como quieras.

Nunca transmitimos tu contraseña al servidor, sólo enviamos un hash. Debido a que es imposible obtener la contraseña real de este hachís, nunca podemos obtener tu contraseña.

También permitimos a todos los usuarios activar la autenticación de dos factores (2FA) con un token de hardware (U2F) o con una aplicación de autenticación (TOTP).

Two-factor authentication in Tutanota.

Cuando se trata de restablecer las contraseñas, Tutanota ha elegido la forma más segura: Sólo los usuarios pueden restablecer sus contraseñas con sus códigos de recuperación. Esto es crucial porque otros métodos para restablecer las contraseñas, por ejemplo, el envío de un correo electrónico de restablecimiento de la contraseña, son propensos a ataques dirigidos que permitirían a terceros hacerse cargo de las cuentas de forma maliciosa. Como servicio de correo electrónico seguro, debemos asegurarnos de que las cuentas de nuestros usuarios no puedan ser robadas con estos métodos.

Compruebe por qué nuestro sistema es la opción de restablecimiento de contraseña más segura. Para maximizar su propia protección de inicio de sesión, también le recomendamos que lea nuestra guía de seguridad de correo electrónico.

También recomendamos encarecidamente utilizar un administrador de contraseñas para asegurarse de que nunca pierda su contraseña y su código de recuperación.

6. Asegurando el protocolo de correo electrónico

Al enviar correos electrónicos encriptados de extremo a extremo con Tutanota, claramente has elegido la opción más segura.

Sin embargo, a veces es necesario también enviar y recibir correos electrónicos no encriptados. Es mucho más difícil asegurar estos correos electrónicos porque como proveedores de correo electrónico sólo podemos encriptar la transmisión, no los datos en sí. Además de eso, hay otros servicios que forman parte del proceso de envío que también necesitan asegurarse de que la transmisión se completa de forma segura, por ejemplo, el proveedor receptor.

Para asegurar los correos electrónicos no encriptados lo mejor posible, nos adherimos a los más altos estándares posibles del protocolo de correo electrónico SMTP.

Tutanota soporta MTA-STS. Este estándar debería ser soportado por todos los servicios de correo electrónico ya que es a un correo electrónico lo que el estricto HTTPS es a un sitio web: Hace cumplir la encriptación de transporte (TLS) siempre que sea posible.

Tutanota también soporta SPF, DKIM y DMARC. Estos tres protocolos son necesarios para endurecer la infraestructura contra la intrusión de correos electrónicos de phishing y spam.

Tutanota añade otra capa a esta protección permitiendo a sus usuarios denunciar el phishing. Esta característica de reporte también funciona con cero conocimiento:

Cuando se informa de un correo electrónico, creamos firmas a partir de él (hashes de diferentes campos). Cuando otro usuario inicia sesión, estas firmas se descargan. Cuando se abre un correo electrónico, Tutanota calcula los hash de los diferentes campos del correo electrónico y los compara con los descargados que han sido reportados. Esto ocurre localmente en el cliente. Si hay suficientes coincidencias, el correo electrónico se considera como phishing y se marca en consecuencia.

Invalid sender warning in Tutanota.

Protección de la privacidad

Correo electrónico anónimo

Nuestro modelo de negocio es diferente de la mayoría de los servicios de correo electrónico: Debido a la encriptación, no podemos escanear sus correos electrónicos y no los rastreamos. No enviamos publicidad dirigida a su buzón de correo.

Por defecto, Tutanota no registra las direcciones IP cuando te conectas o cuando envías un correo electrónico. En el momento del registro no es necesario proporcionar ningún dato personal (por ejemplo, no se requiere ningún número de teléfono), incluso cuando te registras a través de Tor.

Tutanota quita las direcciones IP de los correos electrónicos enviados desde las cabeceras de los correos para que su ubicación permanezca desconocida.

No se permite el rastreo

Obviamente, la propia Tutanota no te rastrea cuando usas Tutanota.

Además, Tutanota bloquea el rastreo al no cargar imágenes automáticamente. Esto es importante porque el correo electrónico es la herramienta favorita de los vendedores que quieren rastrearte. Los correos electrónicos permiten a los vendedores rastrearlo incluyendo píxeles de rastreo que muestran al remitente quién abrió un correo electrónico, cuándo, si hizo clic en los enlaces contenidos, y más.

Estos píxeles de rastreo son contenido externo en un correo electrónico, que debe ser cargado. Si un cliente de correo electrónico carga contenido externo, como imágenes, de forma automática, estos píxeles de seguimiento también se cargan. Tutanota bloquea esto para asegurarse de que sólo se cargue el contenido externo cuando se esté de acuerdo con el seguimiento del remitente.

Desafíos futuros

Encriptación segura post cuántica

Tutanota no sólo es el servicio de correo electrónico más seguro en este momento, también planeamos seguir siéndolo en el futuro.

Por eso ya hemos empezado a trabajar en la encriptación segura post cuántica. Lanzamos el proyecto PQ Mail a principios de este año y ya tenemos un prototipo en funcionamiento que nos permite encriptar los correos electrónicos con un protocolo híbrido que combina nuestros probados algoritmos de encriptación con algoritmos de seguridad post cuántica.

En este post explicamos por qué necesitamos ahora criptografía resistente al quantum. Una pequeña pista: Es necesario ir por delante de la NSA y de otros que quieran usar ordenadores cuánticos para descifrar comunicaciones pasadas.

Luchando por su derecho a la privacidad

En Tutanota estamos comprometidos a luchar por su derecho a la privacidad con la tecnología. Queremos asegurarnos de que la vigilancia masiva se hace imposible aplicando una encriptación de extremo a extremo a todos los datos posibles.

¡Juntos haremos que Internet sea más segura!

No se admiten comentarios