Universidad Tecnológica de Panamá

Facultad de Ingeniería de Sistemas Computacionales

Licenciatura en Ingeniería en Sistemas de Información

Cátedra:
Seguridad Informática

Profesora:
Giovana Garrido

Integrantes:
Eric Cedeño 8-903-2297
Diana Martínez 8-896-1497
Leonardo Medina 8-909-1817
Yiseika Saavedra 8-918-262

Tema:
Seguridad en el Correo Electrónico

GRUPO:
11F -141

Fecha de entrega:
 ÍNDICE

Capítulo I. Seguridad en correo electrónico 3

1.1 Introducción (Antecedentes) 3

1.2 Planteamiento del problema 4

1.2.1 Descripción 5
1.2.2 Preguntas de investigación 5

1.3. Objetivos 5

1.3.1. Objetivo General 5

1.3.2. Objetivos Específicos 6

1.4 Justificación 6

Capítulo II. Marco Teórico 7

Capítulo III. Título de Tema del capítulo (desarrollo del tema, por ejemplo, si es
aplicación instalación, configuración, etc.) 8

3.1 Arquitectura 9
3.1.1 Agente de Usuario 9
3.1.2 Servidor de Correo (Agente de transferencia) 10

3.2 Protocolos 14
3.2.1 Protocolos de Transporte 14
3.2.1.1 SMTP 14
3.2.1.2 ESMTP 15
3.2.2 Protocolos de Acceso 15
3.2.2.1 POP3 16
3.2.2.2 IMAP 16
3.2.2.3 Webmail 16

3.3 Peligros más frecuentes asociados al correo electrónico 17

3.4 Riesgos asociados al correo electrónico 17

3.4.1 Software Dañino 18
3.4.2 Spam 18
3.4.3 Fugas de Información 19
3.4.4 Ingeniería Social 19
3.4.5 Daños a la Imagen 19
3.4.6 Bulos 19

REFERENCIAS 21
Capítulo I. Seguridad en correo electrónico

1.1 Introducción (Antecedentes)

Los creadores de Arpanet (la red que a la larga terminaría por convertirse en Internet) no
tenían en mente un sistema de comunicaciones que uniera a personas de todo el planeta,
pero en cuanto hubo dos o tres decenas de nodos en la red sus usuarios convirtieron ese
conjunto de ordenadores conectados en un sistema de comunicaciones personales y
profesionales prácticamente por casualidad.
La idea de intercambiar mensajes electrónicos entre usuarios de un mismo ordenador no
era nueva, ya que por aquel entonces lo habitual era compartir el ordenador con otros
usuarios. Cada uno de los ellos tenía reservado un espacio en el ordenador en el que se le
podían dejar mensajes, igual que si fuera el buzón de su casa. Cualquier usuario le podía
enviar un mensaje a otro, pero sólo el propietario de cada uno de los buzones podía leer su
contenido.
Al ser uno de sus objetivos unir ordenadores dispersos geográficamente, la red creada por
la ARPA cambió todo esto e hizo que el correo electrónico se convirtiera en algo realmente
útil, ya que permitía a los usuarios intercambiar ideas y proyectos cómoda y rápidamente,
convirtiéndose en el servicio más usado de la red.
El primer intercambio de correo electrónico entre dos ordenadores fue llevado a cabo en
1971 por Ray Tomlinson, un ingeniero de Bolt Beranek and Newman, la empresa encargada
de poner en marcha Arpanet.Algún tiempo antes Tomlinson había escrito un programa para
enviar y leer correo electrónico. Este programa estaba dividido en dos partes: para enviar el
correo se usaba un programa llamado SNDMSG y para leerlo se usaba READMAIL, pero
estaba pensado para manejar correo dentro de un sólo ordenador.
A Tomlinson se le ocurrió hacer un «apaño» a SNDMSG de tal forma que fuera capaz de
enviar los mensajes de un ordenador a otro. Para ello modificó el programa de tal forma que
era capaz de enviar los mensajes de un ordenador a otro usando CPYNET, un protocolo
también creado por él para copiar ficheros de un ordenador a otro.
En julio de 1972 se propuso que los programas de Tomlinson pudieran funcionar usando el
protocolo FTP (File Transfer Protocol, Protocolo de Transferencia de Ficheros), que se
estaba diseñando para enviar ficheros de un ordenador conectado a Arpanet a otro.
En agosto de 1972 se publicó el documento que describía el protocolo FTP, éste incluía las
modificaciones necesarias para poder intercambiar correo electrónico, aunque con el tiempo
el correo electrónico llegó a tener sus propios protocolos.
El correo electrónico es una aplicación de Internet que permite el intercambio de archivos
entre diferentes ordenadores conectados a la red. Los servicios de correo electrónico
otorgan a sus usuarios un buzón electrónico, es decir, un espacio de almacenamiento en un
ordenador conectado de manera constante a la red, al que se suele llamar servidor; espacio
que se identifica a través de una secuencia única e irrepetible que constituye la dirección
electrónica. El servidor de correo electrónico acepta y almacena los mensajes dirigidos a
cada buzón, de manera que el destinatario, mediante el empleo de una aplicación adecuada
de gestión de correo electrónico, puede acceder a ellos a través de cualquier ordenador que
disponga de una conexión a Internet.
En una sociedad como la nuestra, llamada ya sociedad de la información, la merma en las
posibilidades comunicativas no sólo es consecuencia del subdesarrollo sino causa del
mismo. Por franjas de edades la situación es clara, los jóvenes mantienen una relación más
cordial con el universo de las TIC y un empleo más asiduo de sus aplicaciones en el ámbito
de la comunicación interpersonal.
El correo electrónico constituye una de las herramientas TIC más empleadas por los
internautas y una de las más consolidadas en su uso, ya que no sólo fue una de los
primeras en aparecer desde un punto de vista histórico, sino que es, en muchos casos, el
punto de acercamiento inicial de gran parte de los usuarios al entorno de la red, y la puerta
de entrada a otros sistemas de comunicación del medio informático.
El creciente desarrollo de las TIC ha permitido la proliferación de toda una variedad de
nuevos contextos de interacción cuya observación y análisis no resultan ajenos a los
intereses de las disciplinas humanísticas, que en los últimos años vienen interesándose por
cuestiones de la comunicación en la red.
Todo el mundo hace uso del correo electrónico. Es la segunda aplicación más utilizada
sobre la Internet además del explorador. Lo que no te percatas es del nivel significativo de
ataques existentes derivados del uso del correo electrónico. Y en lo concerniente a tu
privacidad, el mal uso del e-mail estriba en comprometer y/o divulgar el contenido del
mensaje, o proporcionar información spammer acerca de ti. El propósito de éste módulo es
proveerte de información sobre cómo funciona el e-mail, la utilización segura de la
herramienta, ataques basados en e-mail y las estrategias de seguridad para el e-mail.

1.2 Planteamiento del problema

Además de ofrecer muchos beneficios los correos electrónicos también poseen algunos
riesgos. Los hackers son cada vez más hábiles en sus ataques a organizaciones mediante
el uso de mensajes electrónicos, incluyendo la interceptación para conseguir información
confidencial o la falsificación de correos electrónicos (email spoofing) con la intención de
redireccionar a sitios webs con phishing o provocar descargas maliciosas.

No se trata de ser alarmistas, pero la realidad es que en Internet existen todo tipo de
trampas y artimañas diseñadas para obtener algún tipo de beneficio de los usuarios, y
actualmente la mayor parte de esas amenazas llegan en forma de mensajes de correo
electrónico.

Afortunadamente, hay algunas soluciones para correo electrónico que pueden ayudar a
proteger al usuario y a su organización de estas amenazas. Las firmas digitales de correo
electrónico y el cifrado garantizan la privacidad del mensaje y evitan que la información
confidencial caiga en las manos equivocadas. A la vez le asegura al receptor que el correo
en verdad proviene de usted y que este no ha sido alterado desde que fue enviado.
1.2.1 Descripción
¿Cuántas cuentas de correo electrónico gestionamos en nuestro día a día? ¿Cuántos
correos electrónicos leemos a lo largo de un mes? El correo electrónico es una
herramienta que en muchas ocasiones tiene una importancia estratégica. Esta herramienta
ha sustituido casi por completo al correo tradicional e incluso a los servicios de mensajería
ahorrando a la empresa mucho dinero, eso sin contar los grandes beneficios en cuanto a
disponibilidad, accesibilidad, rapidez, posibilidad de enviar a múltiples destinatarios,
múltiples documentos adjuntos, acuse de recibo, y por supuesto ahorro en tiempo y dinero
en sobres, papel y sellos.
Sin embargo, al mismo tiempo, al ser una herramienta tan utilizada es también una de las
fuentes más comunes de ataques y de introducción de malware por parte de los
ciberdelincuentes. En un correo electrónico se pueden enviar todo tipo de documentos,
videos, audio, etc. La tendencia natural es leer todos los correos y abrir todos los adjuntos
que nos llegan, pero este es el primer error de los muchos que podemos cometer al trabajar
con el correo electrónico.
Este proyecto final tiene como objetivo demostrar cual es la necesidad de implementar
medidas de seguridad para los correo electrónico en nuestros computadores y en las
organizaciones moderna. Nos enfocaremos en los riesgos de usar correos electrónicos,
explicaremos cómo firmar digitalmente e encriptar los mensajes pueden ayudar a reducir
estos riesgos, explicaremos también cómo se debe firmar y cifrar los correos electrónicos.

1.2.2 Preguntas de investigación

1. ¿Quién debe leer y responder al correo electrónico de la empresa? ¿cuál es el
sistema que debe seguir para usarlo con seguridad?
2. ¿Cuáles protocolos de transporte y de acceso se deben monitorear en una
empresa?
3. ¿Cuáles son los peligros más frecuentes asociados a los correos electrónicos?
4. ¿Cuáles son los riesgos de utilizar correo electrónico?

1.3. Objetivos

1.3.1. Objetivo General

En este informe se pretende identificar cuáles son esas amenazas que afectan a los correos
electrónicos y al mismo tiempo, ofrecer una completa lista de consejos y medidas a tener en
cuenta para seguir haciendo uso de un sistema de comunicación tan habitual, con las
mayores garantías de seguridad.

1.3.2. Objetivos Específicos

● Evaluar evidencias para determinar si se salvaguardan la integridad de los datos
mediante correos electrónicos.
● Identificar las vulnerabilidades en los ataques para los riesgos en el correo
electrónico de una organización.
● Elaborar los lineamientos necesarios que coadyuven a tener los controles de
seguridad informática en los correos electrónicos de una organización.
● Aplicar herramientas para la seguridad del correo electrónico de forma tal de
minimizar amenazas y riesgos.

1.4 Justificación
Es difícil imaginar los negocios o la vida cotidiana sin el uso de correos electrónicos o
mensajerias instantaneas; la conveniencia y la comunicación instantánea que el correo
electrónico ofrece ha hecho de la comunicación electrónica un componente esencial del día
a día de los negocios. Mas de 100 billones de correos electrónicos relacionados a
actividades comerciales son enviados y recibidos diariamente. Es por esta razón que
garantizar la seguridad, confidencialidad, integridad y autenticación de los correos es un
trabajo sumamente importante es cualquier institución o negocio.

1.5 Limitaciones
En la actualidad las computadoras se utilizan no solo como herramientas auxiliares de
apoyo a diferentes actividades humanas, sino como medio para obtener y conseguir
información, lo que las ubica también como un medio de comunicación muy eficaz y
condiciona su desarrollo a la informática; tecnología cuya esencia se resume en la creación,
procesamiento, almacenamiento, transmisión y administración de datos.

La informática está hoy presente en casi todos los campos de la vida moderna, con mayor o
menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnológicos
y comienzan a utilizar los sistemas de información para ejecutar tareas que en otros tiempos
realizaban manualmente.

La ocurrencia de delitos informáticos en las organizaciones no debe en ningún momento

impedir que éstas se beneficien de todo lo que provee la tecnología de la información
(comunicación remota, interconectividad, comercio electrónico, etc.), sino por el contrario,
dicha situación debe plantear un reto a los profesionales de la informática de manera que se
realicen esfuerzos encaminados a robustecer los aspectos de seguridad, controles,
integridad de la información, etcétera.

Nuevas formas de hacer negocios como el comercio electrónico puede que encuentre el
eco esperado en los individuos y en las empresas hacia los que va dirigido ésta tecnología,
por lo que se deben crear instrumentos legales efectivos que ataquen ésta problemática con
el único fin de tener un marco legal que se utilice como soporte para este tipo de
transacciones

Capítulo II. Marco Teórico

Correo electrónico: (en inglés:e-mail), es un servicio de red que permite a los usuarios
enviar y recibir mensajes (también denominados mensajes electrónicos o cartas
electrónicas)mediante sistemas de comunicación electrónicos.
Principalmente se usa este nombre para denominar al sistema que provee este servicio en
Internet, mediante el protocolo de comunicación, aunque por extensión también puede
verse aplicado a sistemas análogos que usen otras tecnologías. Por medio de mensajes de
correo electrónico se puede enviar, no solamente texto, sino todo tipo de documentos
digitales dependiendo del sistema que se use. Su eficiencia, conveniencia y bajo coste
están logrando que el correo electrónico desplace al correo ordinario para muchos usos
habituales.

Origen:[1] [2]
El correo electrónico antecede a Internet, y de hecho, para que ésta pudiera ser creada, fue
una herramienta crucial. En una demostración del MIT(Massachusetts Institute of
Technology) de 1961, se exhibió un sistema que permitía a varios usuarios ingresar a una
IBM 7094 desde terminales remotas, y así guardar archivos en el disco. Esto hizo posible
nuevas formas de compartir información. El correo electrónico comenzó a utilizarse en 1965
en una supercomputadora de tiempo compartido y para 1966 se había extendido
rápidamente para utilizarse en las redes de computadoras. En 1971, Ray Tomlinson
incorporó el uso de la arroba(@) como divisor entre el usuario y la computadora en la que
se aloja el correo, porque no existía la arroba en ningún nombre ni apellido. En inglés la
arroba se lee «at» (en). Así, ejemplo@máquina.com selee ejemplo en máquina punto com.
El nombre correo electrónico proviene de la analogía con el correo postal: ambos sirven
para enviar y recibir mensajes, y se utilizan "buzones" intermedios(servidores), en donde los
mensajes se guardan temporalmente antes de dirigirse a su destino, y antes de que el
destinatario los revise.
Proveedor de correo:
Para poder enviar y recibir correo electrónico, generalmente hay que estar registrado en
alguna empresa que ofrezca este servicio (gratuito o de pago). El registro permite tener una
dirección de correo personal única y duradera, a la que se puede acceder mediante un
nombre de usuario y una Contraseña.
Hay varios tipos de proveedores de correo, que se diferencian sobre todo por la calidad del
servicio que ofrecen. Básicamente, se pueden dividir en dos tipos: los correos gratuitos y los
de pago.
Escritura del mensaje:
No se pueden mandar mensajes entre computadores personales o entre dos terminales de
una computadora central. Los mensajes se archivan en un buzón(una manera rápida de
mandar mensajes). Cuando una persona decide escribir un correo electrónico, su programa
(o correo web) le pedirá como mínimo tres cosas:
 ● Destinatario: una o varias direcciones de correo a las que ha de llegar el mensaje
● Asunto: una descripción corta que verá la persona que lo reciba antes de abrir el
correo.
● El propio mensaje. Puede ser sólo texto, o incluir formato, y no hay límite de tamaño
además, se suele dar la opción de incluir archivos adjuntos al mensaje. Esto permite
traspasar datos informáticos de cualquier tipo mediante el correo electrónico.
Para especificar el destinatario del mensaje, se escribe su dirección de correo en el campo
llamado Para dentro de la interfaz (ver imagen de arriba). Si el destino son varias personas,
normalmente se puede usar una lista con todas las direcciones, separadas por comas o
punto y coma.
Además del campo Para existen los campos CC y CCO, que son opcionales y sirven para
hacer llegar copias del mensaje a otras
personas:
● Campo CC(Copia de Carbón): quienes estén en esta lista recibirán también el
mensaje, pero verán que no va dirigido a ellos, sino a quien esté puesto en el campo
Para .Como el campo CC lo ven todos los que reciben el mensaje, tanto el
destinatario principal como los del campo CC pueden ver la lista completa.
● Campo CCO(Copia de Carbón Oculta): una variante del CC, que hace que los
destinatarios reciban el mensaje sin aparecer en ninguna lista. Por tanto, el campo
CCO nunca lo ve ningún destinatario.
Un ejemplo:
Ana escribe un correo electrónico a Beatriz(su profesora), para enviarle un trabajo. Sus
compañeros de grupo, Carlos y David, quieren recibir una copia del mensaje como
comprobante de que se ha enviado correctamente, así que les incluye en el campo CC. Por
último, sabe que a su hermano Esteban también le gustaría ver este trabajo aunque no
forma parte del grupo, así que le incluye en el campo CCO para que reciba una copia sin
que los demás se enteren.

Capítulo III. Título de Tema del capítulo (desarrollo del tema, por ejemplo, si es
aplicación instalación, configuración, etc.)

El correo electrónico
El correo electrónico es una aplicación de Internet cuya finalidad consiste en procurar la
comunicación entre dos o más personas a través del intercambio de textos escritos
digitalizados. Este medio permite y genera un tipo de interacción verbal mediatizada de
carácter diferido.
Se trata de un sistema basado en un principio simple: un usuario de correo electrónico
dispone de un espacio (buzón) en un ordenador conectado constantemente a la red
(servidor) en el que se almacenan los mensajes enviados por otros usuarios. Este buzón se
identifica mediante una secuencia llamada dirección electrónica. Cuando se quiere acceder
a la consulta de los mensajes recibidos basta con conectarse con el servidor y abrir,
mediante la palabra clave, el buzón. Los mensajes pueden conservarse en el servidor,
ocupando un espacio en el mismo, o descargarse y guardarse en el ordenador del usuario.
El correo electrónico se diferencia en un aspecto muy importante del resto de las
aplicaciones de Internet como Telnet, FTP o el Web. Todos estos servicios y protocolos
presuponen una conexión directa entre remitente y destinatario, es decir, entre la máquina
cliente y la máquina servidor, en tiempo real. En el caso del correo electrónico esta relación
es diferente. El ordenador del destinatario no tiene que estar conectado a la red al mismo
tiempo que el del remitente, ya que el en el correo electrónico intervienen unas entidades
denominadas Mail-Router - servidores locales de correo electrónico- que reciben y aceptan
los mensajes para transmitirlos, posteriormente, a sus destinatarios finales. Para llevar a
cabo esta mediación los usuarios deben utilizar programas adecuados de gestión de correo
que dominen el protocolo SMTP. Este protocolo no sólo le es útil al remitente de un mensaje
para asegurar su recepción, sino que es empleado por los Mail Router para hacer que los
mensajes circulen entre ellos.

3.1 Arquitectura
Para la construcción de los mensajes tal como se los explico previamente se necesitan
sistemas que interactúen con el usuario y a su vez, sistemas que interactúen entre sí para el
envío de la información, estas dos sub-estructuras comparten características y establecen
un trabajo conjunto mediante distintos de protocolos.

Fig. 3. 1 Diagrama esquemático de la arquitectura de un sistema de Correo

Electrónico [3]

3.1.1 Agente de Usuario

El agente de usuario, comúnmente conocido como lector de correo o cliente de correo, es
un programa diseñado para redactar, enviar y responder mensajes, así como para leer los
mensajes nuevos que han llegado la dirección de correo asignada. El agente de usuario, o
UA (User Agent, por sus siglas en inglés) posee además características que le permiten
manipular el correo entrante, asignándole etiquetas o redireccionando a buzones
secundarios, que son mostrados al usuario como carpetas.
El UA tiene además funcionalidades avanzadas según sea su configuración y utilidad, como
la de generar respuestas automáticas según el caso y utilidad, como por ejemplo cuando el
usuario se encuentra de vacaciones o fuera de su sitio de trabajo. Además permiten
configurar las características especiales de RFC 5322 para cada mensaje o grupo de
mensajes y administran las seguridades necesarias definidas por el remitente y el
destinatario.
Para que el mensaje pueda ser enviado, aparte de estar construido como se explicó
previamente, debe tener una dirección de destino. Esta puede representar a un usuario
individual o una lista de correo, según estén configuradas. Sin esta dirección el servidor no
puede construir el sobre para enviar el mensaje. La forma de direccionamiento más habitual
es:
nombre-de-usuario@servidor-de-cuenta.
Donde ‘@’ se usaba como separador para diferenciar el nombre del servidor. Este símbolo
se planteó porque ningún nombre o apellido (en inglés) poseía este carácter. Técnicamente
se lee:
nombre-de-usuario ‘en’ servidor-de cuenta
Considerando que cada nombre de usuario debe ser único dentro de casa proveedor. Una
vez definido la dirección del destinatario el mensaje pasa al Agente de transferencia, mejor
conocido como servidor de correo.

3.1.2 Servidor de Correo (Agente de transferencia)

Para que el mensaje adecuadamente construido llegue hasta el servidor del remitente y a
partir de éste al servidor del destinatario es necesario hacer uso un protocolo que es el
núcleo del correo electrónico en internet, el Protocolo Simple de Transferencia de Correo
(Simple Mail Transfer Protocol, o SMTP, por sus siglas en inglés).
SMTP, definido en el RFC 521 y actualizado en el RFC 5321, define la forma de
comunicación entre cliente (remitente) y servidor (destinatario) para que los mensajes sean
enviados. Como la mayoría de los protocolos de Internet, está escrito en ASCII simple,
siendo esta característica, la simplicidad, la que ha permitido la realización de pruebas y
depuraciones del protocolo ya que permiten que se hagan manualmente desde una consola
conectada al puerto específico, permitiendo encontrar errores de manera más sencilla.
Para transferir un mensaje, el cliente se comunica con el puerto 25 del servidor, que es el
que escucha solicitudes SMTP. Previo al envío de mensajes, cliente y servidor realizan el
establecimiento de la conexión donde se intercambian los parámetros en común que tienen
el cliente y el servidor para la conexión, además de las direcciones origen y destino del
mensaje. El servidor hace uso de la dirección destino para construir el sobre del mensaje y
enviarlo a través de internet. Si el cliente tiene más mensajes para enviar, la conexión se
mantiene, caso contrario se da por terminada una vez enviado el último mensaje.

El ejemplo de la figura 3.2 muestra como el servidor (S) y el cliente (C) establecen la
conexión y transmiten mensajes través de sockets TCP para que el correo pueda ser
enviado del cliente al servidor.

El Cliente se comunica con el servidor mediante comandos específicos que sirven para
determinar las acciones que requiere del servidor, tales como HELO (abreviatura de Hello,
el saludo del cliente), MAIL, FROM, RCTP TO, DATA y QUIT; cada uno de ellos puede
explicarse por sí mismo. Cada una de estas líneas termina con el comando <CRLF>, donde
CR representa el retorno del carro (Carriage Return) y LF alimentación de línea (Line
Feeding), comandos que sirven para emular el funcionamiento de una máquina de escribir y
le indican al servidor que la línea a terminado y que comenzará una nueva. El cliente
además envía una línea que contiene solo un punto (.) para indicarle al servidor el fin del
mensaje. Dentro de la configuración ASCII del protocolo, esta línea final es
<CRLF>.<CRLF>. A partir de esta línea el cliente puede iniciar el envío de más mensajes
de correo o cerrar la conexión

.
Figura 3.2 Ejemplo de un envío de mensaje SMTP

El servidor de correo, en respuesta a los comandos del cliente, devuelve mensajes que
están precedidos por un código que muestra su funcionamiento y ocasionalmente una
pequeña explicación.

A partir del RFC 5321, SMTP agrego diversas extensiones para corregir ciertas falencias
que tenía el protocolo original. A estas extensiones, en general, se las conoce como ESMTP
(SMTP Extendido, o Extended SMTP, por sus siglas en inglés). Para invocar estas
funciones, en lugar de HELO el cliente envía EHLO, lo que hace que el servidor responda
con un set adicional de características, descritas en la tabla 1 , para que el cliente las
conozca y pueda hacer uso de ellas según sus requerimientos.
 Tabla 1. Características adicionales de ESMTP [3]

Tipos de mensaje de correo electrónico

Descripción de cada uno de las clases de mensajes de textos susceptibles a aparecer en un
buzón de correspondencia electrónica.

Correo personal
Un mensaje de correo electrónico personal constituye un texto enviado desde un buzón de
correo identificado a otro buzón de correo igualmente concreto, como resultado de una
relación de correspondencia interindividual y privada, protegida por las leyes de privacidad
de la correspondencia. Los correos personales tratan temáticas muy variadas cuya seña de
identidad es su carácter particular, íntimo y privado.
Desde un punto de vista lingüístico presentan un registro distendido y,, muchos rasgos de
coloquialismo. La variedad estilística es muy amplia, ya que dependerá de factores como la
identidad del autor del texto o la relación entre los interlocutores. No obstante, al observar
los textos descubrimos que, generalmente, participan de una modalidad de escritura poco
formal, que filtran con facilidad los rasgos propios de la escritura electrónica: violaciones del
código ortográfico, predominio de la unidad informativa frente a la estructura de conexión
textual, elipsis, anacolutos, etc.

Correo profesional
Los correos profesionales son mensajes de carácter privado enviados desde un buzón de
correo particular a otro buzón de correo de iguales características. Algunos pueden
manifestar un carácter semipúblico aunque siempre de carácter restringido ya que, en
ocasiones, el intercambio atañe a un grupo de profesionales o a un equipo dentro de una
institución. La principal diferencia respecto al correo personal estriba en la temática tratada,
ya que estos correos se ocupan de asuntos relativos al ámbito profesional o las relaciones
laborales.
En algunas áreas laborales este tipo de interacciones se encuentra muy extendida. Los
intercambios de correo electrónico ofrecen muchas ventajas en el ámbito de las relaciones
de trabajo, puesto que permiten el desarrollo efectivo de interacciones en grupo, además de
ofrecer un sistema sencillo de almacenado de mensajes con el que llevar un registro del
intercambio.
El correo electrónico, en su origen, se encuentra muy relacionado con el mundo laboral, ya
que sus primeros usos se llevaron a cabo en un ámbito profesional concreto, el mundo
universitario. Además, la primera conquista de este medio de comunicación fuera del mundo
de la investigación se produce en las grandes compañías y mundo de negocios.
Correo institucional
Los correos institucionales se inscriben en el marco de una relación de correspondencia
entre una institución y los miembros de ésta o entre instituciones con locutores concretos e
individuales. Estos mensajes tienen carácter oficial y versan sobre temáticas muy concretas,
llegando a constituirse en anuncios públicos de información. Mantienen puntos en común
con los correos profesionales, puesto que en gran parte de los intercambios, al menos uno
de los participantes se encuentra desarrollando su labor profesional.
Además, al igual que sucede con los correos profesionales, por oposición con los
personales, la temática de las secuencias no es libre, sino que se haya asociada a temas
concretos que atañen al ámbito de la institución. El elemento individualizador de este tipo de
mensajes lo constituye su carácter oficial y el carácter de vinculación que establecen con el
régimen de la institución a la que representan.

Correo comercial y publicitario

Los correos publicitarios o comerciales son mensajes enviados desde un buzón destinado a
la expedición de publicidad hacia múltiples buzones de uso particular. Se inscriben en el
marco de una correspondencia de tipo publicitario cuyo fin es enviar una información sobre
un servicio o producto con el objetivo de incitar a su consumo.
En muchas ocasiones se limitan al envío de contenido publicitario, pero en otras muchas
proponen el establecimiento directo de un intercambio comercial entre el emisor y el
receptor. Este intercambio suele desarrollarse a través de la visita a una página web de la
compañía anunciante, que generalmente viene referida a través de un enlace directo en el
mensaje. Si el receptor accede al consumo del producto, la visita a la web comercial
acostumbra a verse completada con el desarrollo de un intercambio a través de correo
electrónico. La modalidad de interacción desencadenada puede variar y, así, en lugar del
correo electrónico es posible el empleo de otro medio de contacto como, por ejemplo, el
teléfono.

Correo de listas
Los correos de listas son mensajes enviados, tal y como indica su denominación, a una lista
de remitentes que comparten intereses comunes. Se trata, en consecuencia, de una
modalidad de intercambio con coenunciadores múltiples. Dichos grupos se establecen en
función de un número ilimitado de criterios: aficiones comunes, temas de intereses
cercanos, cuestiones profesionales, etc. En la comunidad de Internet cualquier colectividad
es susceptible de formar una lista de correo.
Desde un punto de vista técnico este modo de interacción requiere el empleo de unos
protocolos de redireccionamiento especiales que sirven para configurar la lista de
destinatarios y llevar a cabo la gestión de los mensajes. En estos procesos intervienen
aplicaciones específicas para la gestión de listas.
Existen dos tipos principales de listas: las de distribución y las de discusión, cuya
configuración enunciativa resulta muy distinta, incidiendo directamente en el tipo de
mensajes que circulan por ellas.

Correo spam o correo no solicitado

En la categoría spam se circunscriben los mensajes recibidos en los buzones de correo
electrónico sin que hayan sido solicitados ni autorizados por sus destinatarios, mediante la
captación fraudulenta de direcciones. Esta modalidad de correos, cada día en mayor alza,
se identifica con el envío masivo de mensajes. Aprovechándose de la capacidad técnica del
envío múltiple, algunas empresas violan la privacidad de los usuarios de correo, invadiendo
sus buzones con mensajes no deseados.
El término spam se ha convertido en sinónimo de UCE (Unsolicited Comercial E-mail)
aunque también puede emplearse expresiones como correo electrónico no deseado o
correo basura.
La proliferación de los spam es uno de los problemas más serios que perturban la
mensajería digital, afectando al comercio electrónico y creando un reflejo negativo en los
destinatarios que tienden a borrar los mensajes de origen incierto de manera automática.
Para prevenirlos muchos programas de gestión proponen filtros antispam que ayudan a
detener la recepción de estos correos basuras. A pesar de todo, su volumen aumenta
vertiginosamente y la saturación de este tipo de mensajes genera el fenómeno del buzón
basura: muchos usuarios de correo renuncian a buzones repletos de spam.
Ciertos mensajes publicitarios pueden ser spam, si bien otros han sido autorizados.
Además, aunque la mayoría de los correos spam son de tipo publicitario otros pueden
presentar intenciones diferentes. Un caso muy importante de correos spam, son los virus,
enviados masivamente a buzones de correo.

Mensajes generados automáticamente

Ciertos mensajes recibidos a través de la mensajería digital son enviados automáticamente
por un programa configurado para tal fin. Estos programas hacen circular correos que
contienen textos modelos redactados para cumplir una función determinada, que puede
resolverse mediante un envío automatizado. En muchas ocasiones se utilizan para
contestar de manera automática algunos mensajes previos. Pueden ser textos estándar o
poseer categorías variables que se instancian a partir de datos extraídos de los textos a los
que se responde.

3.2 Protocolos

3.2.1 Protocolos de Transporte

3.2.1.1 SMTP
SMTP (Simple Mail Transfer Protocol) es, como su nombre indica, un protocolo de
comunicaciones para el transporte y entrega del correo electrónico; se trata del protocolo
estándar para intercambio de mensajes, por lo que cualquier servidor de correo que desee
recibir e-mail en términos generales, deberá ser capaz de “entender” SMTP. 8. Cuando el
usuario compone un correo electrónico, su cliente de correo (MUA, como veremos a
continuación) debe conectarse al servidor de correo corporativo (MTA) –el que va a
utilizarse para enviar el mensaje- y, mediante el protocolo SMTP, indicarle los parámetros
necesarios para procesar dicho mensaje (a quién va dirigido, quién lo envía, cuál es el
cuerpo, etc.). Si la negociación es correcta, el servidor recogerá el mensaje y se encargará,
a su vez, de transmitirlo a otro servidor de correo, posiblemente el gestor del dominio de
correo al que va dirigido dicho mensaje. Este proceso es transparente para el usuario, ya
que la negociación con el MTA la realiza el cliente de correo; no obstante, podríamos
simular esta negociación mediante un cliente telnet y las órdenes SMTP adecuadas, tal y
como se muestra a continuación –de forma simplificada-:
a. $ telnet mta 25
b. Trying 192.168.1.51...
c. Connected to mta.
d. Escape character is '^]'.
e. 220 mta ESMTP Service (Lotus Domino Release 9.0.0) ready at Mon, 11 Jul 2011 03:53:30
+0200
f. helo aaa
g. 250 mta Hello aaa ([172.17.0.14]), pleased to meet you
h. mail from: test@dominio.es
i. 250 test@dominio.es... Sender OK
j. rcpt to: test@organismo.es
k. 250 test@organismo.es... Recipient OK
l. data
m. 354 Enter message, end with "." on a line by itself
n. Cuerpo del mensaje o. .
p. 250 Message accepted for delivery
q. quit
r. 221 mta SMTP Service closing transmission channel
s. Connection closed by foreign host.
t. $

3.2.1.2 ESMTP
A medida que el número de usuarios de correo electrónico ha ido creciendo y las
funcionalidades en los entornos de correo se han ampliado, se ha hecho necesaria la
extensión del protocolo SMTP –muy básico- para incluir nuevas capacidades en el mismo,
dando lugar a ESMTP o SMTP Extendido. La mayor parte de servidores de correo utilizados
en la actualidad proporcionan a sus usuarios capacidades SMTP extendidas, siendo
siempre compatibles con el protocolo SMTP original; los administradores de sistemas de
correo electrónico deben revisar las extensiones habilitadas en sus servidores, en especial
las relativas a autenticación de usuarios o transporte seguro de datos para que en caso de
necesitar la utilización de alguna de ellas, y siempre que técnicamente sea posible, se
incorporen correctamente al entorno de correo corporativo.

3.2.2 Protocolos de Acceso

Dentro de sus características, SMTP fue diseñado para ser un protocolo de empuje, es
decir, no está diseñado para solicitar información de un repositorio. Durante los primeros
años del correo electrónico, cuando el agente de usuario y el servidor de correo eran
procesos diferentes de un mismo equipo, SMTP ‘empujaba’ el correo entrante a un archivo
específico donde el usuario podía consultarlo. Sin embargo, con la introducción de las
computadoras personales y la movilidad los agentes de usuario debían solicitar la
información que había sido empujada al servidor de correo, cosa que SMTP no estaba
facultado para realizar. Para este cometido se diseñaron protocolos que transmiten los
mensajes del servidor hacia el cliente bajo demanda. Entre los más importantes están:
3.2.2.1 POP3

Definido en el RFC 1393, el Protocolo de Oficina de Correos Versión 3 (Post Office Protocol
Ver. 3, por sus siglas en inglés) es un protocolo sencillo y limitado de acceso de correo que
permite recibir en el agente de usuario los mensajes recibidos. Cuando inicia la conexión a
través del puerto 110, envía las credenciales de autenticación al servidor para poder
identificar al usuario. Cuando ha sido autenticado, el protocolo procede a ‘descargar’ todos
los mensajes nuevos hacia el agente de usuario, etiqueta los mensajes descargados para
su eliminación y maneja estadísticas simples de uso. Cuando el cliente decide terminar la
comunicación, el protocolo elimina del servidor todos los mensajes marcados y
descargados, dejando únicamente las copias de los mensajes dentro del agente de usuario.

Un problema existente con esta configuración es la limitación de lectura de los mensajes

solamente en el agente de usuario en el que fueron descargados, eliminando la posibilidad
de ubicuidad de comunicación. Para resolver este y otros problemas, se creó IMAP.

3.2.2.2 IMAP

Definido en el RFC 3501, el Protocolo de Acceso a Mensajes de Internet (Internet Messages

Access Protocol, por sus siglas en inglés), presenta la evolución de POP3 ya que permite
mantener copias de los mensajes recibidos en el servidor de correo y en cuantos agentes
de usuario estén conectados correctamente al mismo, además de permitir la organización
de los mensajes entrantes en distintos buzones o ‘carpetas’, y manteniendo esta
configuración en todos los agentes de correo conectados. Adicionalmente IMAP permite que
el usuario reciba extractos de sus mensajes recibidos, como las cabeceras o partes
específicas de adjuntos MIME, según sus requerimientos.

Además de estos protocolos, existen protocolos propietarios, como Microsoft Exchange, que
cumplen con las mismas funciones, dentro de entornos cerrados y privados.

3.2.2.3 Webmail
Es cada vez más habitual el acceso al correo, tanto personal como corporativo, a través de
un navegador web, lo que se conoce como webmail o correo web. Estos accesos se
realizan a través de protocolo HTTPS (es obligatorio el uso de protocolo seguro, jamás
debemos utilizar el protocolo HTTP para acceder al correo electrónico) contra una
determinada dirección y, tras autenticarnos convenientemente a través del interfaz web, se
muestra al usuario el contenido de sus carpetas de correo y las diferentes opciones de
gestión del mismo (envío, borrado, archivado…).
Desde un punto de vista técnico, un webmail no es más que un entorno de gestión de
mensajes de correo a través de web; los protocolos de transporte, tecnologías implicadas,
etc. son los mismos que con el uso de MUA tradicionales, con la diferencia de que estos
elementos se utilizan entre el servidor de correo y el servidor web, no entre el MUA y el
MTA, y el navegador, a través de aplicaciones web, nos proporciona las capacidades de
gestión de mensajes de cualquier cliente nativo.

3.3 Peligros más frecuentes asociados al correo electrónico

En la actualidad, las amenazas más habituales asociadas al uso del correo electrónico son
las siguientes:

• SPAM (correo basura): se calcula que más del 80 % de correos electrónicos enviados en
todo el mundo actualmente son SPAM, y este porcentaje sigue creciendo.

• Phishing (captura de credenciales): consiste en un método fraudulento de capturar

información sensible, como nuestros números y claves de cuentas bancarias o de tarjetas
de crédito. Se nos intenta engañar con mensajes que aparentan ser mensajes oficiales de
entidades financieras o empresas de nuestra confianza.

• Estafas de todo tipo: donde se nos intenta vender productos falsos o inexistentes, se nos
solicita dinero aludiendo a buenas causas, ofertas de trabajo inexistentes, y un largo
etcétera.

• Correos con ficheros adjuntos maliciosos (virus, gusanos, troyanos…). Actualmente

es una de los peligros más extendidos. Recibimos un mensaje (de un remitente no
necesariamente desconocido ya que puede estar falsificado) con un fichero adjunto que nos
invita a abrirlo. Dicho fichero contiene código malicioso que, si no disponemos de software
antivirus o antimalware adecuado, infecta nuestro equipo, con consecuencias diversas.
Muchos de estos ficheros infectados a menudo utilizan la libreta de direcciones de nuestro
cliente de correo para reenviarse a su vez a todos nuestros contactos.

• Cadenas de mensajes falsos (hoaxes o bulos): generalmente se trata de mensajes

variados acerca de hechos o falsas alarmas de cualquier tipo, en los que se nos pide que
reenviemos y difundamos el mensaje entre nuestros conocidos. El problema de las cadenas
de mensajes falsos es el volumen de correos electrónicos que crea. Si una persona envía
un mensaje a 10 personas y cada persona que le recibe envía el mensaje a otras 10, en
poco tiempo se habrán enviado millones de mensajes de correo, con el coste asociado que
esto tiene en cuando al tiempo de millones de personas leyendo el mensaje y el coste de
los servidores de correo que tienen que recibir, guardar y enviar estos millones mensajes (y
su posible caída de rendimiento y lentitud por la sobrecarga).

3.4 Riesgos asociados al correo electrónico

Nadie duda de la revolución que el correo electrónico ha supuesto a la hora de trabajar en
cualquier organismo, introduciendo innumerables ventajas de entre las que destaca la
rapidez de comunicación y envío de datos; pero como cualquier cambio, el correo
electrónico introduce una serie de riesgos que es necesario conocer y, hasta donde sea
posible, mitigar, para garantizar la confidencialidad, integridad y disponibilidad de la
información corporativa. Por este motivo, el Esquema Nacional de Seguridad introduce
medidas de seguridad relativas a los servicios de correo electrónico ([mp.s.1]) que, con
independencia de la categoría del sistema, especifica la obligatoriedad de proteger la
información transmitida tanto en el cuerpo como en los anexos de un mensaje, de proteger
la información de encaminamiento y establecimiento de conexiones y de proteger a la
organización frente a las amenazas especialmente vinculadas al correo electrónico, como el
spam, el software dañino o el código móvil.
La organización debe ejecutar un análisis de riesgos que evalúe amenazas, probabilidades,
impactos, riesgos efectivos, salvaguardas y riesgos residuales que afecten a los sistemas
corporativos de correo electrónico, en función de su categoría y siguiendo las directrices
definidas en el ENS ([op.pl.1]); dicho análisis suele y puede estar contenido en un análisis
global de riesgos para la organización, y permitirá conocer los principales riesgos a los que
está expuesto el correo corporativo y las salvaguardas aplicadas para mitigarlos. Vamos a
describir en este punto, sin tratar de presentar una relación exhaustiva, algunos de dichos
riesgos.

3.4.1 Software Dañino

El correo electrónico es un medio ideal para la propagación de software dañino, conocido
como malware, a través de Internet. La rápida difusión de los mensajes, incluso sin
intervención directa del usuario emisor, hace que cualquier tipo de malware enviado a
través del correo electrónico pueda llegar en pocas horas a miles de usuarios, potenciales
víctimas de dicho malware. 28. Para evitar la contaminación del receptor de un correo
electrónico es necesario la utilización de sistemas antivirus, tanto en el equipo donde se lee
el mensaje como en servidores de correo intermedios, así como un uso correcto del correo
electrónico por parte del usuario: no ejecutar archivos adjuntos, no confiar en correos de
destinatarios desconocidos (o conocidos que puedan ser sospechosos de haber sido
falsificados), etc., tal y como veremos en los apartados correspondientes de la presente
guía.

3.4.2 Spam
Bajo la denominación SPAM se identifica el correo no deseado por el usuario, tanto
publicitario como contenedor de ataques más severos a la seguridad de la información.
Habitualmente el SPAM trata de ofrecer servicios fraudulentos, como la compra de
productos falsificados o por debajo de su precio de coste (típicamente, medicamentos o
artículos de lujo), pero bajo la etiqueta de correo no deseado es también común recibir
ataques de phising; estos ataques consisten en el envío de correos con un origen
aparentemente fiable (en general, entidades bancarias, aunque también han sufrido ataques
de phishing otro tipo de servicios, como los ofrecidos por la Agencia Tributaria) pero que,
mediante enlaces en el cuerpo del correo electrónico que dirigen al usuario a páginas web
falsificadas, intenta obtener datos confidenciales de su víctima (habitualmente, credenciales
de acceso a banca online).
3.4.3 Fugas de Información
El correo electrónico es una potencial fuente de fugas de información, ya que permite remitir
volúmenes relativamente importantes de datos a un tercero de una forma que no siempre es
posible detectar; adicionalmente, si consideramos la facilidad con la que habitualmente los
usuarios pueden acceder a correos externos a la organización –en especial, a través de
web-, nos encontramos ante un punto de fuga de datos a considerar a la hora de implantar
controles. Puede ser sencillo monitorizar el sistema de correo corporativo para detectar
envíos de correos electrónicos de gran tamaño a direcciones ajenas a la organización
(aunque el volumen de alertas generadas será muy considerable), pero la monitorización de
correos externos es siempre complicada.

3.4.4 Ingeniería Social

El correo electrónico puede convertirse en una herramienta utilizada contra la organización
para ejecutar ataques de ingeniería social. Dichos ataques suelen tener como objetivo
usuarios concretos que bien por su trabajo, bien por su nivel de privilegios en la red, pueden
facilitar al atacante datos relevantes sin ellos saberlo, derivando en problemas de fugas de
información, malware, etc. como los indicados con anterioridad.

3.4.5 Daños a la Imagen

El uso del correo corporativo de forma que se degrade la imagen de la organización no es
habitual, pero debemos tener en cuenta que un uso inadecuado de las direcciones de
correo electrónico propias de una organización puede perjudicar seriamente a su imagen: si
un usuario envía correos insultantes, de contenido ilícito, que fomenten actitudes contrarias
a la convivencia… no sólo se perjudicará la imagen de esta persona, sino la de la
organización en su conjunto; de esta forma, nuestra política de uso del correo electrónico
debe reflejar claramente la prohibición del uso del correo corporativo con estos fines,
minimizando así tanto la probabilidad como el impacto asociados al riesgo reputacional en
el uso del correo.

3.4.6 Bulos
El correo electrónico es un medio habitual de propagación de bulos (hoaxes), noticias falsas
que intentan pasar por reales ante sus receptores; a diferencia de los fraudes, como el
phishing, los bulos no tienen por qué tener propósito delictivo o de lucro, aunque pueden
implicar impactos muy dañinos contra una organización. El envío de un hoax puede ser el
medio para cometer un ataque de ingeniería social, de envío de software dañino, de
recopilación de direcciones de correo electrónico o incluso un ataque semántico severo
contra una determinada entidad. En cualquier caso, con independencia de su fin último, el
procesamiento de los bulos debe considerarse un riesgo potencial para la seguridad
corporativa.
Es imposible detener el envío de bulos mediante mecanismos técnicos en exclusiva; las
salvaguardas tecnológicas pueden reducir el riesgo, pero desde un punto de vista técnico
los bulos se transmiten de forma lícita a través del correo electrónico: para el sistema de
correo se trata de mensajes legítimos enviados desde direcciones correctas propias o
ajenas a la organización. Al tratarse de ataques semánticos, no sintácticos, la única forma
de mitigarlos satisfactoriamente es mediante una correcta formación ([mp.per.4]) y
concienciación ([mp.per.3]) de los usuarios de la organización, por lo que es obligatorio
incluir estos controles en todos los casos, proporcionando a los usuarios directrices para
detectar los bulos que reciben a través del correo electrónico.
REFERENCIAS
[1] STALLINGS, William. CRYPTOGRAPHY AND NETWORK SECURITY PRINCIPLES
AND PRACTICE. Pearson Education Inc. 2014.
[2] TANENBAUM, Andrew S.;WETHERHALL, David J. COMPUTER NETWORKS. Pearson
Education Inc. as Prentice Hall. 2011.
[3] TANENBAUM, Andrew S.; WETHERHALL, David J. COMPUTER NETWORKS. Pearson
Education Inc. as Prentice Hall. 2011