Skip to main content

El E-mail y la SEGURIDAD 4.0

By 26 agosto, 2020agosto 15th, 2021Nota Destacada, Seguridad 4.0

Esta nota es la evolución de otra publicada en 2014 titulada “La Seguridad y el correo electrónico”. Decía hace ya unos años:

Quienes me escriben tienen dos direcciones de correo electrónico. Mi dirección principal es modesto@monitoreo.com.ar y la dirección de alternativa es modestomonitoreo@gmail.com. Quien me escribe lo hace sólo por un asunto personal no urgente, porque para las urgencias hay otras herramientas: teléfono, VoIP, Skype y Whatsapp. Para todos los asuntos laborales y de servicio las herramientas que se deben utilizar son todas 100% Web.
Algunas veces, cuando necesito un registro o archivo, para trabajarlo digo ‘enviálo a mis direcciones de e-mail’.

Supongo que quien me escribe es porque tiene algo importante para decirme y le interesa que reciba y lea “éso” que tiene para decirme.
Pero resulta que, como diré más adelante, los e-mails no son seguros, necesito aplicar el siguiente procedimiento.

1ro: envíe el e-mail a las dos direcciones, Principal y Alternativa.
2do: recibirá un “OK, recibido” o una respuesta dentro de las 48 horas hábiles.
3ro: si usted no recibe este “OK, recibido” ni una nota que explique el por qué no recibe respuesta, entonces quiero que sepa que el correo electrónico no llegó. Reintente, lea ésto y haga algunos cambios, o llámeme por teléfono.

Para poder entender de qué se trata la seguridad de correo electrónico y por qué pido que se envíen los e-mail de esa manera, entienda que no quiero que crean que cuando me escriben y no respondo, no lo hago de irrespetuoso (algo que no quiero ser ni parecer) sino simplemente porque no lo recibí.

Lo que yo hago es lo siguiente.

1ro: verificar si por alguna de las dos casillas no funcionó.
2do: si no llegó por alguna razón, investigar cuál fue el motivo.
3ro: arreglar el problema si es que está a mi alcance, y sinó delegar.

Este trabajo lo hicimos durante mucho tiempo, por lo que podemos decir y explicar que existen diferentes partes en todo lo que hace al circuito del correo electrónico. Todo puede fallar, y si algo falla, no se logra la comunicación esperada.

Para tratar de explicar las partes que componen el circuito correo electrónico, vamos a hacer un diagrama.

Explicación

Tenemos por un lado (izquierdo) el emisor y por el otro lado tenemos el sistema receptor.
Tanto el emisor como el receptor se conectan a servidores de correo electrónico SMTP (que pueden fallar).
Estos servidores están integrados junto a otros servicios (que pueden fallar) en un servidor (que puede fallar) dentro de un Datacenter (que puede fallar).
Si la falla fuera en el emisor, no se va recibir el correo por ninguna de las dos casillas receptoras publicadas.
Entonces habría que empezar a preocuparse si conviene cambiar de empresa prestadora de correo, o de Internet, o de datacenter, o tener una alternativa.
Lamentablemente, los correos que no funcionan no tenemos forma de saber que no los recibimos, y como no lo sabemos, creemos que todo funciona. Pero lo que funciona es lo que se vé. Con lo que no se ve porque no funciona, no podemos hacer nada, porque no sabemos que no funciona.
Luego de este juego de palabras, continuamos con el circuito.
Del lado del emisor existen dos alternativas.

1- Un acceso web para acceder a su administrador de correo.
2- Un sistema instalado en su máquina (normalmente una PC), como el famoso Outlook o Thunderbird o alguno de los programas de correo residentes en las máquinas.  En estos casos, sabemos que cualquier cosa que le pase la máquina, termina con el correo.

Definitivamente, tener software instalado en máquinas de usuario es cosa del Siglo XX; en el Siglo XXI todo va hacia Internet, por lo tanto no es recomendable utilizar ningún sistema instalado localmente. Por el contrario, lo que hay que hacer es utilizar sistemas en la nube.
Volviendo al diagrama, en el extremo derecho tenemos el receptor.
En mi caso, utilizo Gmail y hago también un redireccionamiento de los  correos a modesto@monitoreo.com.ar, lo que me facilita la tarea.
Utilizo Gmail porque es sumamente evolucionado, tiene muy buenos filtros antispam y esto nos ahorra tener nuestro propio desarrollo de contar con servidores de correo.

Se podría ver los correos enviados a modesto@monitoreo.com.ar accediendo a los servidores propios, pero no lo hacemos por una cuestión de eficiencia en el uso del tiempo: utilizo un sólo sistema para la administración de la lectura y del envío.
El sistema de Gmail, además es el que mejor me funciona desde cualquier máquina y desde cualquier red en cualquier parte del mundo (lo cual lo hace sumamente práctico en mi caso, debido a que viajo bastante y necesito estar siempre conectado).

Volviendo al circuito, observamos que en el medio hay al menos dos servidores SMTP que tienen que dar el “OK” de que fue reenviado, ya que ese e-mail puede perderse en cualquier máquina del medio. Hay muchos filtros antispam y de otros tipos, muchos firewalls; muchas veces esos mensajes de e-mail son bloqueados (especialmente cuando se envían archivos adjuntos con extensiones dudosas).
Hay sistemas de lectura permanente de los e-mail. Así como Google lee todos los e-mail y como la Agencia Federal de Investigaciones de los EEUU (FBI) lee todos los e-mails de dominios terminados en .com con el argumento de que hacen seguridad antiterrorista, también una secretaría especial dependiente de la Presidencia de la Nación en Argentina (antes dependía de Cancillería) lee y graba todos los e-mails de dominios terminados en .ar.
Por lo tanto, en el aspecto de seguridad y en cuanto a privacidad, vemos que no es para nada seguro. Pero este aspecto es el que menos preocupa, ya que nuestra información no resulta atractiva y aunque lean todo nuestro e-mail, realmente resultará muy aburrido ver eventos de cosas que se repiten, como fallos de batería baja, fallos de test y número de abonado, y aunque lo miren es poco el daño que podrán hacer.

Para entender mejor el tema, hagamos la comparación con lo que pasa con un telegrama: si analizamos qué pasa con un telegrama impreso en papel, que su empleado le envía para informarle de su renuncia o por un reclamo, aclaramos que ese telegrama “es gratis” para su empleado, quien lo presenta como una carta abierta que cualquiera puede interceptar y leer. Entonces, tengamos en claro que la privacidad no existe. También se puede perder el telegrama por el camino.
Volviendo al e-mail, recuerdo lo que pasa por muchos servidores y filtros, y que alguno puede no dejarlo pasar; concretamente, e-mails que provienen de Hotmail o de Yahoo en muchos casos son filtrados por Gmail y viceversa.
Según como se filtren pueden ser eliminados o enviados a la carpeta de Spam.

Uno de los grandes beneficios de Internet es que el transporte de la información es prácticamente gratuito: se paga una cuenta de Internet y mediante esa conexión no sólo se recibe acceso a los servidores WEB sino también la posibilidad de transportar información mediante archivos SMTP, o GPRS e IP para los eventos de las alarmas, o VoIP para hablar; esa cuenta de Internet que el cliente tiene es utilizada para el transporte de toda la información, y realmente es muy eficiente.
Entonces quiero explicar la diferencia entre: utilizar correo electrónico para enviar y recibir eventos; o utilizar el Sistema para enviar eventos, u obtener la información necesaria.

Al recibir un evento por correo electrónico, es usted quien tiene que procesar la información. Por ejemplo, cuando se recibe un evento de batería baja, solamente se informa que la batería es baja. En cambio, cuando usted utiliza el Sistema, no sólo sabe que tiene una batería baja sino información que está relacionada con otros eventos: ¿cuál fué la fecha del último reemplazo? ¿Se recibió un corte de luz? ¿Se detectó, mediante la puesta en emergencia para esa localidad, que sufrió un corte de energía general? ¿Cuánto duró la falta de energía?

Lo que pretendemos no es que usted sepa que tuvo batería baja, sino informarle si la batería debe ser reemplazada o no, o sea, si requiere un service urgente o no.

Estamos hablando de la diferencia entre usar correo electrónico y utilizar el Sistema de monitoreo.com. Para hacer la comparación con el telegrama en papel: es como si en mi casa yo tuviera una casilla por cada Asociado donde dejo los papeles con lo que tengo para decirles, y que cada tanto viniera alguien autorizado por el Asociado que toque a la puerta, se identifique con nombre de usuario y contraseña para que lo deje pasar, retire los papeles de la casilla, y se vaya.

Ese procedimiento sería verdaderamente privado, porque toda la seguridad estaría dada por quién accede a ver esa casilla. Los telegramas no viajarían ni los vería cualquier persona, sino sólo la persona autorizada por el Asociado. Así tenemos la primera diferencia: la privacidad.

Después es muy, pero muy poco probable, que un telegrama se pierda, ya que está internamente en mi casa, lo estoy escribiendo yo solo y lo estoy guardando en su casilla. Entonces, la seguridad de que la información se pierda es infinitamente menor.

Por último, como me tomo el trabajo de analizar qué es lo que sucede, no sólo le informo si tiene un fallo de test, sino si le conviene o no realizar una visita técnica al Abonado y con qué urgencia.

Nos llevó 15 años convencer al gremio que es mucho mejor utilizar un sistema WEB en lugar de uno cerrado y aislado.

Pregunto: ¿cuánto nos va a llevar convencerlo a usted de que es mejor usar el Sistema que el e-mail y hacer el control de los FT* como antes?
Conclusión: el e-mail, el SMS, el GSM y el FT* no son sistemas seguros. Utilizarlos para cuestiones críticas o para hacer seguridad es una incongruencia.

Nuestra política es cuidar los tres factores importantes en el siguiente orden: Seguridad, Calidad y Rentabilidad.

Si bien la Rentabilidad está en tercer lugar, no significa que nos nos importe, sino que tenemos que comprender que la Rentabilidad en el mediano plazo y en el largo plazo es consecuencia de la Seguridad y la Calidad de hoy y del corto plazo.

“El futuro es hoy.” 

Esta frase parece un contrasentido, sin embargo hoy sufrimos y gozamos las consecuencias de corto plazo de las decisiones que tomamos recientemente, sumado a las de mediano que tomamos hace dos años y de las de largo plazo tomadas hace 20 años. En tal sentido, un paradigma vigente diría:

“Recién cuando revisamos nuestro pasado tratando de explicarnos los porqué y cuando lo hacemos a consciencia, podemos ver las malas decisiones tomadas tiempo atrás. Pero el tiempo no podemos hacerlo volver para atrás, sólo nos resta aprender de los errores para no volverlos a cometer. Esto es lo que llamo “hacer la experiencia.

En linea con lo anterior hace 20 años escribí: “el único error verdadero es aquél del cual nada aprendemos”.
Ésto resultó una excelente excusa para darnos la libertad de ser creativos y probar cosas nuevas sin temor a equivocarnos, ya que si no funcionaba sólo era el costo de la innovación. 

Pero el tiempo cambia:, la tolerancia de los clientes ante fallas en la seguridad baja, la exigencia cada vez es mayor, la imprevisión es inadmisible. Así que cada vez que ponemos nuevas funcionalidades en marcha, más las probamos para evitar los errores.

Ahora, el nuevo paradigma diría:

En el Siglo XXI, mediante las comunicaciones, Internet y el Trabajo en Red, debemos compartir y aprovechar las experiencias ajenas para ganar y aplicar las técnicas, modalidades y procedimientos probados para evitar la improvisación, aplicar el método de “prueba y error” y “pagar el derecho de piso” que ya pagaron otros. Así ganaremos tiempo, ahorraremos dinero, facilitando el crecimiento y dando pasos sólidos, y evitando retroceder luego

Así alcanzaremos la SEGURIDAD 4.0.

Ing. Modesto Miguez, CPP 

(Diciembre 2014)