Correo electrónico certificado como canal seguro frente a cibercriminales

Publicado por: maria.vargas el Sáb, 11/07/2020 - 12:22
Share
Por: Héctor J. García
Héctor García

El decreto 806 de 2020 estableció el correo electrónico como el medio de comunicación y notificaciones en la administración de justicia. Aunque esta herramienta es la más antigua y a la vez la más útil de Internet, pues permite el intercambio de mensajes de datos (textos, imágenes, sonido etc.) entre dos ordenadores, no es el medio idóneo ni seguro para protegernos frente a hackers que quieran suplantar nuestra identidad y robarnos la información. Menos seguro aún si estamos hablando de procesos judiciales y datos altamente confidenciales.

Riesgos del correo electrónico tradicional

Para recibir un correo electrónico la persona debe tener un buzón electrónico, a través de la apertura de una cuenta de correo, cuyo proceso consiste, generalmente, en suministrar a través de un formulario digital, datos personales como nombres y apellidos, número de identificación, dirección de residencia, teléfono, datos biométricos, etc. 

Cada usuario tiene asignada una dirección de correo electrónico, que es única, y cuya estructura es usualmente ‘nombre de usuario’ @ ‘nombre de dominio’, a la que accede con usuario y contraseña. El dominio indica la localización del usuario y concretamente se refiere al ordenador en el cual tiene su buzón de correos. Esto es importante, ya que los mensaje que se envían desde un computador a otro no van  directamente de uno a otro. Todos los mensajes van a su proveedor de Internet, que a su vez lo enviará al proveedor del destinatario. El proveedor guardará el mensaje en un buzón hasta que el usuario lo descargue. Las 5 plataformas de correo más usadas son Gmail, Outlook, Yahoo, Aol y iCloud.

Para hablar de las funciones del correo es necesario hablar de los protocolos de comunicación. Entre ellos, el protocolo de SMTP por sus siglas en inglés (Simple Mail Transfer Protocol) que traduce Protocolo simple de transferencia de correo. Este permite transmitir el mensaje desde el servidor saliente hasta el receptor. Luego tenemos el protocolo POP cuyas siglas en inglés significan Post Office Protocol (Protocolo de la Oficina postal). Este se encarga de recibir y almacenar los mensajes desde su servidor. Finalmente, contamos con el sistema IMAP, sus siglas en inglés significan Internet Message Access Protocol (Protocolo de acceso a mensajes de Internet). En él se puede acceder a los mensajes enviados y recibidos, almacenarlos por carpetas, descargar la totalidad del mensaje o hacerlo parcialmente. Incluso se pueden sincronizar de acuerdo con el usuario que haya enviado el correo y reenviarlo a uno o más usuarios de las diferentes empresas de correo. 

Este tipo de correos electrónicos que viajan por los protocolos mencionados no aseguran la comunicación de punta a punta como lo puede hacer un protocolo de seguridad como el Secure Socket Layer (SSL) y, por lo general, no permiten tener certeza del acuse de recibo o del recibido del mensaje.  Es allí, en la seguridad y en las funcionalidades donde el correo electrónico tradicional se queda corto para efectos de la notificación electrónica.  

Por lo anterior, es posible que alguien obtenga nuestra dirección de correo electrónico y a través de diferentes programas espías obtengan la contraseña y accedan al buzón de correo electrónico. Podrán, entonces, leer todos los correos, modificar y borrar correos privados, enviar emails a nuestro nombre o cambiar las opciones de privacidad y seguridad asociadas al correo.

El Informe Global de Riesgos 2019 del Foro Económico Mundial – FEM – indicó que los ciberataques y las vulnerabilidades tecnológicas aparecen como grandes preocupaciones, ubicándose dentro de los 10 principales riesgos globales con mayor grado de probabilidad de ocurrencia. Según previsiones del Centro para la Ciberseguridad (C4C) del FEM, la pérdida económica debida al delito cibernético podrá superar los 17 billones de dólares para el año 2020 y el 74 % de las empresas del mundo podrían ser hackeadas en el 2021. Además, se estima que el año entrante los daños ocasionados por los ciberdelitos alcanzarán los 6 trillones de dólares.

El reporte del Estado de Internet 2019 precisó que entre noviembre de 2017 y septiembre de 2019, en Colombia se originaron alrededor de 536 millones de ataques (contados entre inicio de sesión malicioso y ataques a aplicaciones web). Por su lado, en Estados Unidos se originaron alrededor de 26.800 millones, en Rusia 7.200 millones, en China 3.200 millones, en India 3.120 millones, en Alemania 2.330 millones y en Japón 920 millones de este mismo tipo de ataques. 

De conformidad con el CONPES 3995 de 2020, que establece la política nacional de Confianza y Seguridad Digital, se evidencia que en Colombia hay deficiencias en todo el conjunto de las capacidades relacionadas con la seguridad digital: por parte de los ciudadanos, del sector público y del sector privado. Esto causa que el país presente bajos niveles de preparación y de avance en la materia, lo que a su vez incrementa la vulnerabilidad ante ataques y amenazas cibernéticas, deteriorando la confianza y el normal desarrollo de nuestro entorno digital

Notificaciones por correo electrónico 

El Decreto 806 de 2020 estableció que las notificaciones que deban hacerse personalmente también podrán efectuarse con el envío de la providencia respectiva como mensaje de datos a la dirección electrónica (correo electrónico) o sitio que suministre el interesado para que se realice la notificación, sin necesidad del envío de previa citación o aviso físico o virtual. Los anexos que deban entregarse para un traslado se enviarán por el mismo medio. 

Como se mencionó, un correo electrónico tradicional es inseguro, la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE), indicaron en el informe “Privacidad y Seguridad en Internet” lo que puede pasar si alguien accede a nuestro correo electrónico, así como unas recomendaciones de seguridad para evitarlo. (https://www.aepd.es/es

Es así como se impone la necesidad de evolucionar técnica y jurídicamente en ese sentido. Sin duda el correo electrónico tradicional es inseguro, por lo que se presentan dos soluciones al respecto. La primera es hacer uso de correos electrónicos certificados que ofrecen las Entidades de Certificación como Camerfirma (www.camerfirma.co).  Se trata de un servicio de correo electrónico seguro y certificado que permite administrar comunicaciones de manera ágil, íntegra y verificable, conservando un registro del envío, entrega y contenido transmitido con fecha y hora, cumpliendo la normativa colombiana. 

Adicionalmente, el correo electrónico certificado permite tener una prueba con validez jurídica, de envío y entrega. Esto lo convierte en el homólogo de la correspondencia física certificada con el mismo valor probatorio al integrar la firma digital y la estampa de tiempo. De esta manera, logra ser una forma fácil, rápida y eficiente para dotar de seguridad jurídica a las comunicaciones electrónicas habituales, sin tener que adaptar nuevas herramientas o nuevos protocolos: se envía igual que un e-mail normal.

Por otro lado, se deberán desarrollar las Sedes Electrónicas Administrativas (decreto 620 de 2020) y Judiciales (sin regulación), entendida como aquella dirección web (URL) disponible para los ciudadanos a través de redes de telecomunicaciones, cuya titularidad, gestión y administración corresponde a cada entidad o despacho judicial. Serán portales en los que se ofrezcan los servicios de la Administración Pública y de Justicia a los que podrán acceder los ciudadanos y operadores jurídicos y notificarse, ingresando a dicha sede electrónica sin necesidad de enviar un correo electrónico. Entre otros servicios, se realizarán a través de sedes judiciales electrónicas todas las actuaciones y procedimientos que requieran la autenticación de la Administración de Justicia o de los ciudadanos y profesionales, incluyendo las notificaciones electrónicas. 

En conclusión, para cumplir con la exigencia de garantizar la publicidad cuando los actos procesales deban celebrarse en audiencia pública, la sede electrónica es el mejor medio de garantizar la difusión de la información, en lugar del correo electrónico especialmente expuesto a ataques externos o a manipulaciones internas.