S/MIME: firma y encripta tus correos electrónicos

Cuando enviamos un correo electrónico esperamos que el destinatario lo reciba de forma segura y sin modificaciones y que al mismo tiempo sea la primera persona que lo lea. A la inversa, cuando somos los receptores de un mensaje, confiamos en que ningún tercero haya podido acceder al contenido o lo haya manipulado. Asimismo, también esperamos que el autor del mensaje haya sido realmente el remitente y no otra persona que oculte su identidad tras este. Si realmente queremos estar seguros de que se cumplen todas estas condiciones deberemos recurrir sin alternativa a dos servicios de seguridad, la encriptación y la firma electrónica, pues sin ellos facilitamos enormemente la tarea de delinquir a los hackers, a pesar de que el sistema tenga protección antispam y un software antivirus. S/MIME, definido en 1999, es uno de los métodos estándar, con cuya ayuda es posible usar las prestaciones de seguridad antes descritas.

Correo electrónico con dominio propio

¡Haz que tu negocio hable por sí mismo con una dirección de correo electrónico personalizada y con tu propio dominio!

Profesional
Seguro
Asistencia 24/7

¿Qué es S/MIME?

En la publicación RFC 1847 de 1995 se detallan dos extensiones de seguridad para el estándar de correo electrónico MIME, siglas de Multipurpose Internet Mail Extension (en español, Extensiones Multipropósito de Correo de Internet): por un lado, el formato multipart/signed para firmar mensajes y, por el otro, el formato multipart/encrypted para codificarlos. Solo 4 años más tarde el IETF (Internet Engineering Tasking Force)publicó con la extensión para MIME denominada S/MIME descrita en RFC 2633, un estándar compatible con el formato de firma antes citado.

Para la codificación, en cambio, recurre a la solución propia application/pkcs7-mime. Puedes elegir si quieres que S/MIME solo codifique o solo firme el correo o, si por el contrario, deseas aplicar ambas operaciones, disponibles para los clientes de correo electrónico más conocidos, como Microsoft Outlook, Thunderbird o Apple Mail. Una de las alternativas más conocidas que soporta multipart/signed y multipart/encrypted es OpenPGP, definida en 2007.

Para proteger tu privacidad, el vídeo se cargará tras hacer clic.

¿Cómo funciona la codificación y la firma con S/MIME?

S/MIME se basa en la encriptación asimétrica y recurre para ello a un par de claves, estas son, una clave privada (private key) y una pública (public key). Mientras que la pública se comparte con todos los contactos de la cuenta de correo, la privada se reserva solo para el usuario y será necesaria, por un lado, para decodificar los mensajes recibidos y, por otro, junto con la clave pública del destinatario, para poder enviar emails encriptados. Con un certificadoS/MIME, ofertado por diferentes proveedores, el cliente de correo electrónico puedecrear e intercambiar claves.

Para que funcione el cifrado de correos electrónicos, a cada mensaje S/MIME se antepone la información del encabezado, que envía al cliente receptor las indicaciones necesarias para registrar y tratar el contenido, entre las que se incluyen el tipo de contenido (en los archivos encriptados, por ejemplo, “enveloped-data”), el nombre de archivo correspondiente (como smime.p7m para datos firmados o protegidos) o la forma del código. Un encabezado factible para un correo encriptado puede ser, por ejemplo: 

Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m

Para proteger tu privacidad, el vídeo se cargará tras hacer clic.

La firma S/MIME puede adjuntarse al correo electrónico automáticamente cuando se está redactando, y se considera de gran utilidad por diversos motivos. En primer lugar, permite comunicar al destinatario la clave pública que asegura el proceso de comunicación entre ambos, de modo que este puede también enviar mensajes con información encriptada. Además, la firma también demuestra al destinatario que has enviado el mensaje y, al contrario que en PGP, al introducir una firma no aparecen caracteres encriptados. En caso de que el cliente de correo destinatario encuentre incongruencias al verificar la firma recibida, la legitimidad del mensaje no puede ser confirmada, lo que puede denotar una manipulación de los datos.

Nota

Incluso si no utilizas la firma digital, continúa siendo posible dar a conocer la clave pública a través de otros métodos: publícala en un servidor de claves, en tu propia web o guárdala como archivo en un dispositivo externo de almacenamiento.

¿Cómo adquirir un certificado S/MIME para enviar tus propios correos?

Como ya se ha dicho, para usar S/MIME se requiere un certificado (X.509). En principio podemos crearlo nosotros mismos, no obstante, para ello vamos a necesitar primero un certificado raíz, que en este caso debe generarse también. Además, antes de que se produzca un intercambio de información encriptada, todos los interlocutores deberán haber importado este certificado raíz. Por ello, se recomienda optar por una opción más fácil y rápida, consistente en la adquisición de un certificado en un organismo oficial de certificación, donde puede haber soluciones tanto gratuitas como de pago. Una clasificación típica divide a los certificados en tres tipos:

  • Clase 1: el certificado expedido por el organismo de certificación garantiza la veracidad de la dirección de correo dada.
     
  • Clase 2: el certificado garantiza la veracidad de la dirección de correo dada así como la del nombre que se le asigna. Además, siempre que tenga importancia, se confirmará también la empresa. La verificación de los datos se produce mediante bases de datos de terceros o copias de carnets de identidad.
     
  • Clase 3: este tipo de certificados se diferencia del de la clase 2 en que el solicitante tiene que identificarse en persona.

Si deseas encriptar tus mensajes con S/MIME y estás buscando un certificado, es importante que no pierdas de vista su función principal, esta es, proteger la comunicación vía correo electrónico y evitar que el contenido de los mensajes sea interceptado y manipulado por terceros, motivo por el cual es esencial tener en cuenta la seriedad y el grado de confianza del proveedor que se vaya a elegir.

Uno de los servicios que ofrece un mayor grado de confianza es Sectigo, en cuyos certificados confía, según los propios datos de esta empresa, el 99 por ciento de clientes de correo electrónico. Este organismo de certificación, conocido principalmente por sus excelentes certificados SSL, ofrece certificados para uso particular (a partir de 16,99 dólares al año) o para empresas (a partir de 39,99 dólares al año) con los que es posible implementar el cifrado de extremo a extremo con S/MIME. Un socio de confianza para la generación de certificados gratuitos es el proveedor italiano de alojamiento web Actalis.

Para proteger tu privacidad, el vídeo se cargará tras hacer clic.

Instalación de S/MIME en tu programa de correo electrónico

Para poder integrar estos procedimientos de seguridad en el cliente de correo utilizado, lo primero que se necesita, como es lógico, es un certificado S/MIME, por lo que la búsqueda del proveedor se convierte en el primer paso para conseguir que tus correos sean seguros y estén protegidos. A continuación, se procede a generar e instalar un certificado personificado, proceso que en la mayoría de los casos varía mínimamente de un proveedor a otro. Tras la instalación es importante configurar el programa de correo correspondiente para que haga uso de S/MIME y recurra al certificado insertado. Por norma general el proceso de instalación finaliza al reiniciar al cliente, tras lo cual se activan funciones específicas para la encriptación o firma automática o manual de los mensajes.

En los siguientes apartados te ofrecemos instrucciones detalladas para instalar S/MIME en el sistema de escritorio Windows y macOS, así como en los sistemas móviles iOS y Android. El servicio Actalis, antes nombrado, se usa de ejemplo como organismo de certificación gratuito.

Instalación de S/MIME en Windows

Quien quiera usar la tecnología S/MIME en un ordenador con Windows, pero no quiera pagar por utilizar Outlook o Microsoft Office, puede recurrir a la alternativa gratuita Thunderbird, producto de la casa Mozilla, al igual que el navegador Firefox. Si aún no lo has hecho, es necesario que instales el cliente y crees una cuenta, tras lo cual deberás guiarte por los siguientes pasos para activar la encriptación y la firma S/MIME:

  1. Ve a la web de Actalis y accede a través del link “Free S/MIME certificatesˮ a la solicitud de un certificado S/MIME gratuito.
     
  2. En el formulario que se abre, introduce la dirección de correo electrónico para la que deseas generar el certificado y haz clic en “ENVIAR CORREO DE VERIFICACIÓN”. Actalis te enviará a esta dirección un código de registro que deberás copiar, posteriormente, en la línea “Código de verificación. También deberás introducir los caracteres que ves en el captcha en el campo con el mismo nombre:
Formulario Actalis “Free Secure Email Certificatesˮ
Si el captcha presentado no funciona o no puedes descifrar los caracteres, puedes obtener uno nuevo haciendo clic en “Regenerate”.
  1. En la segunda parte deberás confirmar las condiciones generales, así como las condiciones específicas vinculadas a un certificado S/MIME gratuito, marcando la casilla correspondiente a cada una. Al marcar la tercera casilla, confirmas que has leído la información anterior y que estás de acuerdo con el uso de tus datos de acuerdo a lo previsto por Actalis. Puedes prohibir la recogida y el uso de los datos con fines de marketing seleccionando la opción “I do not consentˮ antes de pulsar finalmente en “ENVIAR SOLICITUD:
Formulario Actalis “Free Email Certificateˮ
Eres libre para decidir si quieres proporcionar a Actalis tus datos personales para fines de marketing.
  1. Tu navegador te proporcionará, a continuación, una contraseña personal para el uso del certificado S/MIME que te será enviada a la dirección de correo electrónico que diste antes. Dado que no la recibirás en otro lugar, se recomienda que la anotes o que imprimas la página.
     
  2. Para utilizarlo en Thunderbird, primero debes descargar el certificado en el buzón de correo y descomprimirlo en cualquier directorio (archivo ZIP).
     
  3. A continuación, inicia Thunderbird y abre los ajustes de la cuenta. En la opción de menú “Security” encontrarás el botón “Manage Certificates”, que permite acceder al menú correspondiente.
Mozilla Thunderbird: configuración de seguridad
No olvides instalar las configuraciones de certificado para la cuenta Thunderbird que deseas proteger.
  1. Selecciona la pestaña “Your Certificates” e importa el certificado que guardaste en un paso anterior, para lo que es necesario clicar sobre “Import” y seleccionar el certificado. Para finalizar el proceso inserta tu contraseña.
     
  2. En el menú “Security” puedes seleccionar el certificado S/MIME para la encriptación y firma. Además, puedes decidir si la firma digital se establece de forma estándar y se procede a la encriptación obligatoriamente en todos los casos, para lo cual elige la opción “Required”. Al escribir un correo puedes marcar o desmarcar la selección de estos métodos individualmente en el botón S/MIME en la barra de herramientas.
Mozilla Thunderbird: interfaz de correo electrónico
Independientemente del método de instalación (manual o automático) de la firma y la encriptación, hay que tener en cuenta que el asunto debe de seguir siendo legible.

Instalación de S/MIME en macOS e iOS

Los dispositivos de Apple disponen ya, con el cliente “Mail”, de una solución instalada que desde un principio da la posibilidad de encriptar y firmar correos con S/MIME. Si posees una cuenta de correo, puedes crear directamente un certificado con Actalis sin necesidad de instalar un programa adicional. El procedimiento no se diferencia mucho del que seguimos con Windows: accede a la página web de Actalis, utiliza el formulario de generación de certificados y crea un certificado basado en tus datos personales. Finalmente, procede como se indica para instalar el certificado y configurar la encriptación S/MIME:

  1. Tras abrir el correo enviado por Actalis, descarga el certificado en cualquiera de las carpetas. Al hacer doble clic, los archivos descargados pueden abrirse en macOS directamente y añadirse al administrador de contraseñas con llaveros. Si además, quieres usar S/MIME eniPhone o iPad, primero debes convertir el certificado al formato .p12 a través del administrador de contraseñas con llaveros, para después enviarlo por correo electrónico al dispositivo móvil.

Para proteger tu privacidad, el vídeo se cargará tras hacer clic.

  1. Tras la instalación, hay que iniciar o reiniciar Apple Mail para poder integrar los procedimientos de encriptación y firma.
     
  2. Ahora es el momento de comprobar si funciona el certificado S/MIME, enviándote a ti mismo un correo electrónico firmado y encriptado. Para ello, encontrarás dos botones específicos en la ventana del correo, un candado para la encriptación y una rueda dentada para la firma. Ambos símbolos se encuentran también en una barra adicional bajo el asunto del mensaje de prueba solo si la encriptación o firma funcionan adecuadamente.

Cómo configurar S/MIME en Android

Al igual que Windows, Android carece de un cliente para integrar S/MIME. No obstante, existen diferentes aplicaciones que ayudan en el proceso y que se pueden descargar en la Google Play Store. Entre las soluciones gratuitas cabe destacar la desarrollada por Flipdog Solutions y conocida como MailDroid, aunque es de pago en la variante sin publicidad. Como en el caso de macOS, en la instalación de la firma y encriptación con S/MIME, en primer lugar, necesitas generar un certificado válido y seguir los pasos que se describen a continuación:

  1. MailDroid integra por defecto botones para la encriptación y firma de tus emails. Para que puedas usar estas funciones, necesitas descargar, en primer lugar, el plugin gratuito FlipdogSolutions Crypto.
Notificación de MailDroid
Si intentas encriptar un mensaje con MailDroid sin haber instalado antes el Crypto-Plugin, recibirás un mensaje donde se te indica que lo descargues de Google Play Store.
  1. Con la ayuda del plugin puedes importar el certificado recién creado. Para ello abre la opción de menú “Import Certificate” y selecciona los archivos correspondientes.
Interfaz de usuario de FlipdogSolutions Crypto Plugin
Puedes usar el Crypto Plugin no solo para importar certificados S/MIME, sino también para importar claves PGP.
  1. Regresa a MailDroid y abre los ajustes. Bajo la opción de menú “Encription Plugin” puedes indicar el certificado y establecer la configuración de S/MIME que desees. Teniendo en cuenta los posibles ataques informáticos deberás elegir, por ejemplo, si la encriptación y la firma deben llevarse a cabo por defecto o si, por el contrario, solo se debe recurrir a esta cuando el destinatario posea la clave adecuada.
MailDroid: ajustes de encriptación
Si has importado diferentes claves de firma puedes dejar decidir a MailDroid sobre su aplicación.
  1. A partir de ahora y si así lo has decidido en el paso anterior, se añaden automáticamente la firma y la encriptación a los mensajes que redactes, aunque también puedes recurrir a los botones ya citados en el final de la ventana de mensajes para activar estos mecanismos de protección. MailDroid indica claramente si la codificación o la clave no funcionan debido a la expiración o invalidez del certificado:
Ventana de mensajes de MailDroid
Antes de formular el contenido de un correo electrónico, ten en cuenta si funcionan los mecanismos de protección deseados.

Hosted Exchange con IONOS

La solución de correo electrónico y calendario líder en el mercado con el hosting seguro de IONOS.

Microsoft 2016
Dominio gratis
Asistencia 24/7
Artículos similares
¿Qué es el phising? Aprende a proteger tus datos

Phishing: cómo reconocer los correos fraudulentos

Los dudosos mensajes que usan los estafadores para captar datos sensibles son un fastidio cotidiano para muchos usuarios de Internet. El denominado phishing no solo es molesto, sino que, cada año, ocasiona daños que derivan en pérdidas millonarias. Aprende a identificar el correo phishing sin equivocarte y logra una bandeja de correo electrónico libre de amenazas.

La firma digital para tu correo electrónico

El papel de la firma digital para la seguridad en Internet

Los correos spam son molestos pero, por lo general, inofensivos. Los correos electrónicos de phishing, por su parte, son más problemáticos. Con ellos, los estafadores intentan robar datos confidenciales suplantando direcciones de origen que, ante los ojos de los destinatarios, pueden parecer de confianza. La mayoría de estos mensajes parecen auténticos, pues es muy fácil falsificar al remitente si...

Correo seguro: protege tu dirección de correo electrónico

Correo seguro: protege tu email de los spambots

Los spambots, también llamados Email harvesters o programas “cazacorreos”, recorren Internet de forma incesante a la búsqueda de direcciones de correo que más tarde podrán utilizar para acciones de publicidad agresiva, para enviar phishing o para distribuir todo tipo de malware. Y, por lo general, tienen bastante éxito. La legislación vigente dicta a los propietarios y administradores de páginas...

Verificación en dos pasos: protección para tu cuenta

Protege tu información con la verificación en dos pasos

Las cuentas de correo electrónico mal aseguradas suelen conducir a que año a tras año miles de personas sean víctimas del phishing y otros ciberataques que, en la mayoría de los casos, conducen a que estas pierdan el control sobre sus cuentas. Con la verificación en dos pasos los usuarios se pueden proteger eficazmente contra este tipo de ataques. Mediante una segunda comprobación, en la que es...

Cifrado asimétrico

Cifrado asimétrico: transmisión segura de datos

Si quieres proteger tus datos digitales con la mayor seguridad posible, es fundamental cifrarlos. La criptografía asimétrica, por ejemplo, desempeña un papel muy importante en la transmisión segura de datos. En este artículo, te explicamos cómo funciona el cifrado asimétrico, en qué se diferencia del tradicional cifrado simétrico y en qué casos se utiliza.

IONOS

¡No te vayas! ¡Tenemos algo para ti!
Consigue tu dominio .es un año gratis.

Introduce el dominio que deseas en la barra de búsqueda para comprobar su disponibilidad.
12 meses desde 0€/año IVA incl.
después 10 €/año IVA incl.