PDF de programación - Lección 9 - Seguridad del Correo Electrónico

LECCIÓN 9

SEGURIDAD DEL CORREO
ELECTRÓNICO (E-MAIL)

LECCIÓN 9 – SEGURIDAD DEL CORREO ELECTRÓNICO (E-MAIL)

“License for Use” Information

The following lessons and workbooks are open and publicly available under the following
terms and conditions of ISECOM:

All works in the Hacker Highschool project are provided for non-commercial use with
elementary school students, junior high school students, and high school students whether in a
public institution, private institution, or a part of home-schooling. These materials may not be
reproduced for sale in any form. The provision of any class, course, training, or camp with
these materials for which a fee is charged is expressly forbidden without a license including
college classes, university classes, trade-school classes, summer or computer camps, and
similar. To purchase a license, visit the LICENSE section of the Hacker Highschool web page at
www.hackerhighschool.org/license.

The HHS Project is a learning tool and as with any learning tool, the instruction is the influence
of the instructor and not the tool. ISECOM cannot accept responsibility for how any
information herein is applied or abused.

The HHS Project is an open community effort and if you find value in this project, we do ask
you support us through the purchase of a license, a donation, or sponsorship.

All works copyright ISECOM, 2004.

Información sobre la “Licencia de Uso”

Las lecciones y cuadernos de trabajo siguientes son de acceso público y están disponibles
bajo las siguientes condiciones de ISECOM:

Todos los trabajos del proyecto “Hacker Highschool” son proporcionados para su uso no
comercial con estudiantes de escuelas primarias, secundarias, bachilleratos y ciclos
formativos dentro de las actividades académicas propias de la institución. Dichos materiales
no pueden ser reproducidos con fines comerciales de ningún tipo. La impartición con estos
materiales de cualquier clase, curso o actividad de formación para el que sea necesario
pagar un importe, queda totalmente prohibida sin la licencia correspondiente, incluyendo
cursos en escuelas y universidades, cursos comerciales o cualquier otro similar. Para la
compra de una licencia visite la sección “LICENSE” de la página web del proyecto “Hacker
Highschool” en www.hackerhighschool.org/license.
El proyecto HHS es una herramienta de aprendizaje y, como tal, la formación final debe
proceder realmente de la influencia del instructor y no basarse únicamente en el uso de la
herramienta.

ISECOM no puede aceptar bajo ningún concepto responsabilidad alguna sobre la forma de
aplicar, ni sus consecuencias, de cualquier información disponible dentro del proyecto. El
proyecto HHS es un esfuerzo de una comunidad abierta, por lo que si encuentra útil este
proyecto le invitamos a patrocinarlo a través de la compra de una licencia, una donación o
un patrocinio.

Todos los Derechos Reservados ISECOM, 2004.

2

LECCIÓN 9 – SEGURIDAD DEL CORREO ELECTRÓNICO (E-MAIL)

Índice
“License for Use” Information................................................................................................................ 2
Información sobre la “Licencia de Uso”.............................................................................................. 2
Contribuciones........................................................................................................................................4
9.0 Introducción.......................................................................................................................................5
9.1 ¿Cómo funciona el correo electrónico?...................................................................................5
9.1.1 Cuentas de correo electrónico.........................................................................................5
9.1.2 POP y SMTP............................................................................................................................5
9.1.3 Correo Web..........................................................................................................................7
9.2 Utilización segura del Correo Parte 1: Recibiendo...................................................................7
9.2.1 Spam, Phishing y Fraude.....................................................................................................7
9.2.2 Correo HTML..........................................................................................................................8
9.2.3 Seguridad en Archivos Anexados......................................................................................8
9.2.4 Encabezados Falsos / Forged headers.............................................................................8
9.3 Utilización Segura del Correo Parte 2: Enviando....................................................................11
9.3.1 Certificados Digitales.........................................................................................................11
9.3.2 Firmas Digitales...................................................................................................................12
9.3.3 Obteniendo un certificado..............................................................................................13
9.3.4 Encriptación / Cifrado.......................................................................................................13
9.3.5 ¿Cómo funciona?..............................................................................................................13
9.3.6 Desencriptación.................................................................................................................14
9.3.7 ¿Es el cifrado irrompible?..................................................................................................14
9.4 Seguridad en las Conexiones....................................................................................................15
Lecturas Recomendadas................................................................................................................16

3

LECCIÓN 9 – SEGURIDAD DEL CORREO ELECTRÓNICO (E-MAIL)

Contribuciones
Stephen F. Smith, Lockdown Networks
Chuck Truett, ISECOM
Marta Barceló, ISECOM
Kim Truett, ISECOM
Rafael Acosta Serrano, T&E Solutions
Jaume Abella - Enginyeria La Salle

4

LECCIÓN 9 – SEGURIDAD DEL CORREO ELECTRÓNICO (E-MAIL)

9.0 Introducción
Todo el mundo hace uso del correo electrónico. Es la segunda aplicación más utilizada sobre
la Internet además del explorador. Lo que no te percatas es del nivel significativo de ataques
existentes derivados del uso del correo electrónico. Y en lo concerniente a tu privacidad, el
mal uso del e-mail estriba en comprometer y/o divulgar el contenido del mensaje, o
proporcionar información spammer acerca de ti. El propósito de éste módulo es proveerte
de información sobre cómo funciona el e-mail, la utilización segura de la herramienta,
ataques basados en e-mail y las estrategias de seguridad para el e-mail.

LESSON 9 – E-MAIL SECURITY
9.1 ¿Cómo funciona el correo electrónico?
Al igual que el correo aéreo es enviado por aire, el é´-mail es enviado a través del medio
“e”-lectrónico en y entre las redes que conforman la Internet. Cuando envías un correo
electrónico desde tu computadora, los datos son enviados a un servidor SMTP. El servidor
SMTP busca el servidor POP3 correcto y envía tu e-mail a ese servidor, donde espera a que el
receptor pueda recuperarlo.

9.1.1 Cuentas de correo electrónico
Las cuentas de correo electrónico están disponibles a través de varias fuentes. Puedes
conseguir una a través de tu escuela, trabajo o de un proveedor de servicios de Internet (ISP
por sus siglas en inglés). Cuando obtienes una cuenta de e-mail, te darán una cuenta de
correo que consta de dos partes [email protected]. La primera parte, el nombre del
usuario, te identifica en tu red, diferenciándote de otros usuarios de la misma red. La segunda
parte, el nombre de dominio, se utiliza para identificar tu red. El nombre de usuario deberá
ser único dentro de tu red, al igual que el nombre del dominio deberá ser único entre todas
las redes de la Internet. Sin embargo, los nombres de usuarios no son únicos fuera de sus
redes; es posible que dos usuarios en dos redes distintas puedan compartir el mismo nombre.
Por ejemplo, un usuario con la dirección [email protected] no podrá utilizar el mismo
nombre de usuario en la red bignetwork. Sin embargo,
[email protected] y
[email protected] son direcciones válidas de correo electrónico que pueden referir a
usuarios distintos. Una de las primeras cosas que harás cuando configures tu cuenta de
correo es incorporar tu dirección de correo electrónico en tu cliente de correo. El cliente de
correo es el programa que utilizarás para enviar y recibir e-mail. El cliente de correo de
Microsoft Outlook Express es el más conocido (puesto que es una distribución gratuita dentro
del sistema operativo de Microsoft). Sin embargo existen otros clientes disponibles para la
plataforma Windows y Linux, incluyendo a Mozilla, Eudora, Thunderbird y Pine.

9.1.2 POP y SMTP
Después de que tu cliente de correo conoce tu dirección de correo electrónico, necesitará
saber dónde buscar el correo entrante y a dónde enviar el saliente.

Tus correos entrantes estarán en una computadora llamada servidor POP. El servidor POP –
generalmente con la sintaxis pop.smallnetwork.net o mail.smallnetwork.net – tiene un archivo
asociado con tu correo electrónico, el cual contiene correos que te han sido enviados por
otros usuarios. POP hace referencia a post office protocol.

5

LECCIÓN 9 – SEGURIDAD DEL CORREO ELECTRÓNICO (E-MAIL)

Tus correos salientes serán enviados a una computadora llamada servidor SMTP. Este servidor
–generalmen