Microsoft, Google y Yahoo! se unen para promover un nuevo protocolo de E-Mail seguro. ¿Después de más de 30 años, SMTP tendrá su merecida jubilación?
SMTP nace en los años 80’s para manear las comunicaciones por correo electrónico, una creciente tendencia que, a la fecha, se ha convertido en una de las formas más usadas de comunicación, además de la mensajería instantánea.
El problema que siempre han tenido protocolos tan viejos, es el tema de la seguridad, pues para esa época, el uso del texto plano se encontraba bastante extendido, en primer lugar, por las plataformas existentes, y en segundo lugar, porque para aquel entonces, la seguridad no era precisamente la prioridad.
Con el pasar del tiempo y el desarrollo del Internet y las comunicaciones, se fueron agregando algunas capas de seguridad para intentar subsanar la falla que, de raíz, tenía el protocolo, pero con todas las tecnologías actuales y el cada vez más creciente número de casos de espionaje, robo de identidad y demás problemas que trae el mundo interconectado, se hace necesario el desarrollo de un nuevo protocolo que se adapte a los nuevos tiempos.
Así, empresas de la talla de Microsoft y Google, se reúnen para proponer un cambio importante en el protocolo para hacerlo más seguro, ya que la implementación de STARTTLS, se hace insuficiente, debido a fallas y errores de diseño.
SMTP STS (Strict Transport Seurity), nace como una evolución del protocolo SMTP, aportando confidencialidad a los mensajes y asegurando la autenticidad del servidor para iniciar un canal seguro de comunicaciones por correo electrónico encriptado. Básicamente, SMTP STS trabaja en conjunto con SMTP STARTTLS para fortalecer y evitar el downgrade de SSL/TLS y por consiguiente, ataques MITM, al igual que HSTS trabaja junto HTTPS para reforzar HTTP.
STMP STS permitirá a los dos servidores que participan en intercambios de correo electrónico validarse criptográficamente entre sí, y decidir de una manera segura, a prueba de manipulaciones externas, si se debe utilizar el cifrado, si se admite el cifrado, y qué deben hacer si no es así.
Esto se parece un poco al sistema de certificados usado actualmente en la web, el cual permitirá validar la identidad del servidor desde el mismo inicio de la comunicación. Lo más importante es que, según estiman las empresas involucradas, el estándar estaría listo para mediados de este año y podría empezar a aplicarse en ese mismo momento.
Pese a las limitaciones que tiene HSTS, ha funcionado bastante bien para HTTP, por lo que no es descabellado pensar en extender esta capa de seguridad a las comunicaciones por correo electrónico, que, si bien ya hemos logrado el cifrado Peer to Peer, el intercambio inicial de la comunicación sigue siendo relativamente inseguro. EL hecho de poder validar que un servidor es quien dice ser, disminuiría en gran medida el Spam y los correos de Phising
Fuente: Softpedia
