Correspondencia electrónica: ¿Es realmente privada?... Por si acaso, "Lavabit", el servicio de e-mail usado por Edward Snowden, está de vuelta

Todos sabemos que la privacidad y el anonimato son características de alto valor a lo hora de navegar por internet, pero, os habéis planteado esta cuestión al hablar de correos electrónicos… Gmail, Hotmail, Gmx, y todos los servicios de correo electrónico (muchos “gratuitos”), ¿son realmente privados?

Ya os digo yo que no (opinión personal), no podré demostrarlo, pero nuestros correos electrónicos podrían ser leídos por quien nos ofrece el servicio, salvo que los cifráramos, con nuestro certificado digital, o algún otro método, de los muchos que existen.

¿Qué podemos hacer entonces? Yo aconsejo solicitar nuestro certificado digital propio, que aparte de ayudarnos con la burocracia electrónica de los Organismos Oficiales, también puede ser utilizado para cifrar nuestros correos electrónicos e impedir su modificación, o lectura por parte de terceros.

O bien, podemos utilizar alguno de los servicios disponibles en la red de digamos servicios de e-mail cifrados, que seguramente suelen ser de pago (en su versión de cifrado más potente).

A continuación, os “hablo” brevemente del sistema que utilizaba Edward Snowden para el envío de correspondencia electrónica, junto con la famosa distribución “anónima” de Linux, llamada TAILS, que sólo funciona en modo “live”, y no deja “rastros” en el ordenador utilizado, y de la que tal vez os escriba otro día, aunque seguro que es mucho más conocida que el tema del correo electrónico cifrado.

¡Pues vamos a ello!... El servicio en cuestión es conocido por Lavabit.

Lavabit, servicio de email cifrado que tenía su base en Texas, se vio obligado a cerrar en 2013 después de negarse a colaborar por el FBI.

La agencia estadounidense consiguió hasta una orden judicial para obtener las claves SSL necesarias para hacerse con los emails que Edward Snowden había intercambiado a través de Lavabit. Sin embargo, la empresa se negó a acatar dicha orden y decidió cerrar el servicio en 2013, debido a que la entrega de aquellas claves SSL no solo iba a exponer los emails de Snowden, sino la de todos los usuarios. En consecuencia 410.000 usuarios se quedaron tirados, aunque se permitió que pudiesen recuperar su material.

Tres años y medio después de su cierre forzado con el fin de no comprometer a sus usuarios, Lavabit resucita incluyendo muchas mejoras para evitar episodios oscuros como el ocurrido en torno a Edward Snowden. Según Ladar Levison, CEO de Lavabit, se ha construido una nueva arquitectura que corrige el problema de SSL que forzó el cierre de 2013 e incluye muchísimas características y mejoras en torno a la privacidad, todo con el fin de que los emails de los usuarios no puedan ser leídos por un tercero no autorizado.

Levison también ha anunciado la liberación del código fuente de un nuevo estándar de cifrado extremo a extremo global que promete mensajes a prueba de vigilancia, ocultando los metadatos de los emails para evitar que agencias como la NSA y el FBI puedan saber quiénes son las personas que se comunican a través de Lavabit.

El nombre de este nuevo estándar es Dark Internet Mail Environment (DIME) y su código fuente está disponible en GitHub. Por otro lado, ha sido asociado a un programa de servidor de email llamado Magma, el cual está listo para ser usado junto a DIME. Esto permite su implementación por parte de diferentes proveedores, ofreciendo así una infraestructura sin una autoridad centralizada.

Según Levison, el servidor Magma está diseñado para ofrecer una aplicación fácil de usar incluso para usuarios sin profundos conocimientos técnicos, con clientes de email que pueden usar el servicio cifrado de Lavabit con facilidad. El estándar DIME incluye un modo de “cifrado confiable” que pide a los usuarios que confíen en el servidor para gestionar sus claves y el cifrado. Por otro lado, también ofrece un “modo prudente” y un “modo paranoico”, los cuales permiten a los usuarios tener control absoluto sobre las claves de cifrado, pudiendo incluso denegar su transmisión.

Además, el modo paranoico significa que Lavabit nunca podrá ver las claves privadas de los usuarios en sus servidores.

El resucitado Lavabit sólo estará accesible para los clientes existentes y en modo confiable, mientras que las personas que no eran clientes antes del cierre de 2013 tendrán que preinscribirse y esperar a su despliegue oficial.

Referencias:

https://thehackernews.com/2017/01/encrypted-email-lavabit.html

https://github.com/lavabit/libdime

https://en.wikipedia.org/wiki/Dark_Mail_Alliance

https://lavabit.com

http://securityaffairs.co/wordpress/tag/dark-internet-mail-environment

http://www.eldiario.es/turing/vigilancia_y_privacidad/Dark-Mail-protocolo-electronico-Lavabit_0_344365877.html

https://www.net.in.tum.de/fileadmin/TUM/NET/NET-2015-09-1/NET-2015-09-1_03.pdf

http://es.slideshare.net/anatolalizar/dark-internet-mail-environment

https://es.wikipedia.org/wiki/Lavabit

https://techcrunch.com/2016/06/24/ladar-levison-finally-confirms-snowden-was-target-of-lavabit-investigation/

https://hipertextual.com/2013/08/cierre-de-lavabit-ladar-levison