Exportar (0) Imprimir
Expandir todo
Expandir Minimizar
Este tema aún no ha recibido ninguna valoración - Valorar este tema

El panorama cambiante de la seguridad del correo electrónico

 

Última modificación del tema: 2006-07-05

El aumento relativamente reciente y rápido del uso del correo electrónico como medio de comunicación ha creado oportunidades y retos para la industria del software y empresas de todo el mundo. No fue hasta 1986 cuando se estableció formalmente el Grupo de trabajo de ingeniería de Internet (IETF), con el objetivo de documentar los estándares de Internet y promover las prácticas recomendadas para el uso de Internet. En los noventa, la popularidad del World Wide Web transformó el panorama informático, ya que millones de usuarios empezaron a acudir en masa a Internet por cuestiones profesionales o de ocio.

Las empresas de software desarrollaron aplicaciones populares de servidor y cliente de correo electrónico que proporcionaban una mayor funcionalidad mediante descargas gratuitas y aplicaciones comerciales de gama alta. Junto con el crecimiento de Internet y la exploración del Web, muchas empresas lanzaron al mercado soluciones de correo electrónico basadas en Web, con frecuencia financiadas por la publicidad que muestran y gratuitas para el usuario final. Los proveedores comerciales de software empresarial han continuado innovando y proporcionando funcionalidad mejorada para ayudar a los departamentos de TI a administrar los sistemas de correo electrónico de forma más eficaz y segura, ayudando también a los trabajadores de la información a afrontar los retos que supone la administración de un volumen cada vez mayor de correos electrónicos. La convergencia de los sistemas de telefonía y correo electrónico permite hoy en día el acceso al correo de voz y los fax mediante clientes de correo electrónico; asimismo, se ha producido una proliferación de modernos dispositivos portátiles que proporcionan acceso móvil al correo electrónico.

La importancia de las tecnologías de mensajería continúa creciendo, habiéndose convertido en una ventaja competitiva para las empresas de todo el mundo. Los administradores de sistemas se enfrentan a los retos de proporcionar características mejoradas para que los trabajadores sigan siendo competitivos, mientras que a la vez deben proteger sus redes y su propiedad intelectual.

En los últimos cinco años hemos sido testigos de la evolución de riesgos cada vez más graves de seguridad de usuarios de correo electrónico y empresas. Los virus, los gusanos, el correo no deseado, la suplantación de identidades (phishing), el spyware y una progresión de métodos de piratería informática más nuevos y sofisticados han hecho que la comunicación por correo electrónico y la administración de su infraestructura sea una labor mucho más arriesgada. Hay muchos casos de robo de identidad, que resultan en la pérdida de propiedad intelectual e información personal como son los números de tarjeta de crédito y de la seguridad social. Estos problemas, unidos al éxito de la comunicación electrónica, han contribuido a la creación de nuevas normativas referentes a la privacidad, la rastreabilidad y los registros en diarios.

El primer virus importante fue el Melissa, en marzo de 1999. En mayo de 2000, el virus para correo electrónico ILOVEYOU provocó el caos en Internet. Como consecuencia de estos virus, el filtrado y bloqueo de los datos adjuntos se ha convertido en una funcionalidad estándar del correo electrónico. Ahora normalmente se eliminan del correo electrónico determinados datos adjuntos durante el transporte, que los clientes como Outlook, Outlook Express y Outlook Web Access (OWA) bloquean. Las soluciones antivirus se pueden ejecutar durante la entrega del correo electrónico o cuando se almacenan en el servidor y en clientes de correo electrónico. Es una práctica común implementar soluciones antivirus tanto en clientes como en servidores. De hecho, muchas corporaciones impiden que los equipos que no estén ejecutando software antivirus actualizado, se conecten a sus redes.

En los primeros años de la década de 2000, el correo no deseado se estaba convirtiendo en un problema importante, amenazando con afectar gravemente a la utilidad del correo electrónico. En 2002, la Comisión de Comercio Federal de Estados Unidos comenzó a tomar medidas enérgicas contra el correo electrónico basura engañoso, pero las grandes diferencias entre los distintos países hace que la aplicación de las leyes sea difícil en un ecosistema global como es Internet. El correo no deseado no solo es molesto, sino que es común que se use en fraudes de suplantación de identidad para robar información y dinero. Es un método muy barato que se emplea para anunciarse (o atacar) y que, incluso con una tasa mínima de respuestas, sigue siendo eficaz. The Radicati Group, Inc calcula que durante el año 2006 se enviarán más de 100.000 millones de mensajes de correo no deseado como media al día, lo que supone más de dos tercios de todo el tráfico de correo electrónico. Para descargar el informe completo, consulte Microsoft Exchange Market Share Statistics, 2005 (en inglés).

La tecnología para luchar contra el correo no deseado comenzó su andadura con conceptos muy sencillos como eliminar el correo electrónico que contuviera palabras bloqueadas. Hoy en día, han evolucionado para convertirse en tecnologías de reducción y detección de correo electrónico desde diversos flancos. Las soluciones actuales siguen incluyendo bloqueos de palabras, pero ahora también incluyen herramientas complejas de detección de correo no deseado como la tecnología Microsoft SmartScreen™. Al hacer una búsqueda rápida en Internet, se obtendría una lista de muchas empresas que venden tecnología para luchar contra el correo no deseado, así como muchas personas dispuestas a ayudar a otros a evitar los detectores de correo no deseado. Lamentablemente, el proceso de intentar evitar la detección del correo no deseado continúa mejorando a la misma velocidad que la tecnología de detección. El software de detección de correo no deseado, al igual que el software antivirus, debe actualizarse de forma periódica para que siga siendo eficaz.

En los noventa, los científicos informáticos y estudiantes comprendieron la posibilidad de explotación de algunos de errores comunes de codificación, como los desbordamientos del búfer. Estas vulnerabilidades se hicieron más fáciles de explotar cuando se popularizó que los equipos estuvieran conectados mediante redes. Hasta ese momento, los virus se propagaban mediante disquetes y desde entonces se han producido muchos avances en la complejidad de los ataques. Hay abusos muy inteligentes contra muchos tipos de errores de administración de memoria, incluyendo los abusos contra el desbordamiento de enteros que están muy de moda entre la comunidad clandestina. Los scripts entre sitios y otras técnicas de inyección de scripts son los métodos empleados para atacar las aplicaciones web. Muchos de los ataques modernos tienen una motivación económica, mientras que los primeros ataques con frecuencia estaban motivados por la obtención de publicidad.

Sabemos que hay usuarios malintencionados que usan herramientas para automatizar el proceso de encontrar y explotar vulnerabilidades. Entre ellas se incluyen las herramientas llamadas que inyectores de errores (fuzzers) que toman entradas correctas y las transforman o generan entradas dañadas. Se emplean para identificar errores de código que se podrían explotar para ejecutar el código. Se han producido muchos avances en las herramientas empleadas para realizar procesos de ingeniería inversa e identificar cambios en un programa. Actualmente, se usan diversos inyectores de errores y herramientas de análisis en el desarrollo de productos de Microsoft para identificar posibles defectos de código y poder solucionarlos antes de comercializar un producto. Por ejemplo, la opción de análisis de Visual Studio® 2005 ayuda a que los desarrolladores encuentren defectos en su código. Ejecutar un conjunto de herramientas de análisis de código es uno de los cambios que Microsoft introdujo como parte del Ciclo vital del desarrollo de seguridad (SDL).

Las siguientes secciones proporcionan información sobre las recientes mejoras en la seguridad de Exchange Server.

Microsoft Exchange Server 2003 fue la primera versión de Exchange que incluyó el SDL en el proceso de desarrollo. Como resultado de este esfuerzo, hemos reducido notablemente la superficie, deshabilitando de forma predeterminada los servicios menos usados. El grupo de Exchange deshabilitó la autenticación anónima del Protocolo de transferencia de noticias en red (NNTP) y mejoramos la seguridad de OWA con autenticación basada en formularios.

Exchange 2003 salió al mercado con configuraciones predeterminadas más seguras. Por ejemplo, bloqueamos la jerarquía de nivel superior de carpetas públicas y recomendamos habilitar SSL para cifrar el tráfico de red cuando promovíamos que los servidores fuesen servidores de aplicaciones para el usuario. Aplicamos un límite de tamaño de mensajes de 10 MB, eliminamos los permisos de inicio de sesión locales en servidores de Exchange de los usuarios del dominio y endurecimos el análisis de Extensiones multipropósito de correo Internet (MIME) basado en revisiones de seguridad. Nuestros esfuerzos estaban dirigidos a trabajar con otras iniciativas de Microsoft para proteger nuestros productos, como Microsoft Baseline Security Analyzer (MBSA) y la Herramienta de Bloqueo de IIS.

Cuando sacamos al mercado Exchange 2003, publicamos un conjunto de instrucciones que un administrador podría seguir para mejorar más la seguridad de Exchange 2003. Estas instrucciones se pueden encontrar en el siguiente sitio Web: Guía para reforzar la seguridad de Exchange Server 2003. En el Service Pack 2 (SP2 ) de Exchange 2003 mejoramos aun más la seguridad, especialmente para la mensajería móvil, con el lanzamiento de Mensajería para móviles con el Service Pack 2 de Microsoft Exchange Server 2003 y el Feature Pack de mensajería y seguridad de Windows Mobile 5.0.

Dado el riesgo para los datos de las empresas que se produce en caso de pérdida de dispositivos móviles, con SP2 de Exchange 2003 proporcionamos barrido local, barrido remoto y bloqueo de PIN para contribuir a que la experiencia móvil sea más segura. También protegemos la experiencia de movilidad con el cifrado de correos electrónicos entre el servidor de Exchange y el cliente móvil. El SP2 de Exchange 2003 elevó los estándares del ataque contra el correo no deseado al incluir el filtro inteligente de mensajes (IMF) que incorpora comprobaciones contra ataques de suplantación de identidades o tácticas de falsificación de dominios.

Para Microsoft Exchange Server 2007 hemos incorporado la última edición del SDL a nuestro proceso interno de desarrollo. Hay requisitos específicos de seguridad en cada fase del ciclo vital del desarrollo. Durante la fase de diseño simulamos las posibles amenazas del ecosistema de mensajería y actualizamos el diseño para hacerlo más seguro. Durante todo el proceso de desarrollo, ejecutamos herramientas y empleamos técnicas para identificar los posibles problemas de seguridad. Muchas de las herramientas que hemos usado para probar Exchange 2007 son semejantes a las que los usuarios malintencionados emplean para encontrar vulnerabilidades. Hemos desarrollado inyectores de errores personalizados y hemos empleado estas herramientas para generar millones de correos electrónicos dañados que garantizamos que el servidor puede tratar de forma segura.

Durante el desarrollo de Exchange 2007, hemos continuado usando los conceptos nuevos de seguridad de la industria y del resto de la empresa. Hemos contratado consultores externos de ingeniería de seguridad para que revisen nuestro código y busquen vulnerabilidades de seguridad. Todo esto es adicional al trabajo realizado por el Equipo de Seguridad de Exchange, cuya única responsabilidad es buscar problemas de seguridad de Exchange y garantizar la seguridad de esta aplicación.

En Exchange 2007 estamos actualizando y reforzando muchas de nuestras configuraciones predeterminadas. Por ejemplo, hemos reducido la superficie deshabilitando los protocolos menos comunes y eliminando o reemplazando grandes secciones de nuestro código más antiguo por código administrado más nuevo. Para que la implementación de un conjunto reducido de código en servidores individuales sea más fácil, hemos diseñado Exchange 2007 alrededor de funciones de servidor.

Exchange 2007 ofrece la posibilidad de que los usuarios de OWA y Exchange ActiveSync tengan acceso a documentos de recursos compartidos de archivos de convención de nomenclatura universal (UNC) y servidores SharePoint que les permiten obtener un fácil acceso a documentos internos mientras se encuentran fuera de la oficina. El administrador de Exchange puede controlar qué recursos compartidos de archivos de UNC y sitios de SharePoint hay disponibles. El acceso de OWA a archivos y datos adjuntos remotos se puede configurar (en el caso de los formatos de archivo habituales como los archivos de Office o los archivos PDF) para evitar que tales archivos se dejen de lado en la memoria caché del explorador. Esto se logra con la Presentación de documentos WebReady, a través de la cual el servidor transforma el archivo a HTML antes de enviarlo al cliente, por lo que IE puede administrar el contenido en el cliente y borrarlo cuando la sesión SSL de OWA se cierre. El cifrado de datos es más fácil de configurar, ya que SSL está configurado de forma predeterminada para emplear certificados autofirmados. La experiencia de Exchange ActiveSync se ha mejorado en Exchange 2007 con la introducción de directivas de ActiveSync por usuario. Exchange 2007 tiene una directiva mejorada de contraseña que incluye el historial, la caducidad, el bloqueo de patrones de contraseñas, listas de bloqueo, cifrado de tarjetas de almacenamiento y recuperación de contraseñas.

Las funciones de servidor Transporte de concentradores y Transporte perimetral están diseñadas como una exploración de mensajes que permite la canalización eficiente, con la capacidad de admitir varios proveedores de antivirus mediante características integradas y Microsoft Forefront Security para Exchange Server. Microsoft ha hecho una importante inversión para admitir una exploración más eficaz y programable de virus a nivel de transporte.

Exchange 2007 introduce el concepto de agentes de transporte. Los agentes son componentes de software administrado que realizan una tarea en respuesta a un evento de aplicación. Exchange 2007 difunde la información sobre la exploración antivirus a través de mensajes, evitando de esta forma las exploraciones duplicadas. Por ejemplo, un mensaje explorado en el transporte no se volvería a explorar en el almacén si no hubiera una firma actualizada en el servidor de buzones. Los desarrolladores externos pueden escribir agentes personalizados para aprovechar el motor de análisis de MIME de Exchange con el fin de obtener una sólida exploración antivirus a nivel de transporte. El motor de análisis de MIME de Exchange 2007 ha evolucionado a lo largo de los muchos años de experiencia de tratamiento de MIME y, probablemente, es el motor de MIME más sólido y de confianza de la industria.

El filtrado de datos adjuntos en los servidores de concentradores o perimetrales de la organización puede reducir la propagación de datos adjuntos de software malintencionado entre organizaciones. Algo que también es nuevo en Exchange 2007 es el hecho de que las reglas de transporte se puedan crear con facilidad, para proteger a las organizaciones contra brotes de virus de fechas determinadas. Con la creación de una regla de transporte personalizada que ponga en cuarentena o bloquee los mensajes que tengan las características de un nuevo virus, la organización está protegida incluso antes de que se libere una nueva identificación de virus. Es posible crear reglas de transporte que actúen en muchos aspectos de un mensaje entrante o saliente, como el asunto, el contenido o el dominio.

Exchange 2007, junto con Outlook 2007, implementa una estrategia de protección contra el correo no deseado y la suplantación de identidades desde varios flancos. La forma en la que se detecta y trata el correo no deseado ha mejorado notablemente. Entre ellos, el filtro inteligente de mensajes de Exchange valora los mensajes entrantes y determina la probabilidad de que los mensajes sean legítimos. En base al nivel de confianza de correo no deseado (SCL) que se determina para cada mensaje, se pueden configurar diferentes acciones incluyendo poner en cuarentena el mensaje, desplazarlo a la carpeta de correo no deseado o rechazarlo.

Outlook 2007 puede resolver los rompecabezas informáticos presolucionados creando un matasellos de Outlook que el filtro de contenido de Exchange 2007 puede validar. Además, la inclusión en la lista segura de Outlook crea una lista de remitentes seguros para cada usuario individual que el servidor de Exchange usa. Esto permite que los mensajes de correo electrónico legítimos eviten el filtro de contenidos en el borde de la red.

El servidor perimetral se puede ejecutar sin estar unido al dominio, mientras que al mismo tiempo permite que el agente de filtro de destinatario bloquee mensajes que se envían a usuarios inexistentes o listas de distribución internas.

El agente de reputación del remitente calcula de forma dinámica la honradez de los remitentes desconocidos recabando datos analíticos de sesiones de Protocolo simple de transferencia de correo (SMTP), el contenido del mensaje, la verificación del id. del remitente y el comportamiento general del remitente, creado de esta forma un historial de características del remitente. El agente de reputación del remitente usa estos datos para determinar si se debe agregar ese remitente a la lista de remitentes bloqueados.

El id. del remitente comprueba que cada mensaje de correo electrónico se origina desde el dominio de Internet del que afirma ser al examinar la dirección IP del remitente y compararla con el registro del id. del remitente del servidor de Sistema de nombres de dominio (DNS) público del remitente. Microsoft también proporciona una lista IP Block que se ofrece en exclusiva a los clientes de Exchange 2007. Los administradores pueden usar el servicio de reputación de IP además de otros servicios de listas de bloqueo en tiempo real.

Las normas como la Directiva de Protección de Datos de la Unión Europea, la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA) y la ley de Sarbanes-Oxley amplían los requisitos de retención y cifrado de datos a un número cada vez mayor de empresas. Con el uso de Seguridad de la capa de transporte (TLS) con autenticación Kerberos, el correo electrónico dentro de la organización está cifrado entre los servidores de concentradores de forma predeterminada. Los servidores de acceso de cliente y de concentradores también cifrarán el correo electrónico cuando se comuniquen con servidores de buzones. De forma predeterminada, Outlook 2007 cifrará todo correo electrónico que se lea o se envíe a Exchange Server 2007. Para garantizar el cumplimiento, esto se puede aplicar desde el servidor de Exchange 2007, lo que supone un ejemplo más de equipos de productos y características que funcionan juntos para crear una mensajería segura dentro del ecosistema de mensajería.

Además de los cambios realizados en las defensas del correo electrónico en el lugar en el que está instalado el equipo, los Servicios alojados de Microsoft Exchange (EHS) ofrecen una solución alojada para proteger un entorno de mensajería de la organización, satisfaciendo la directiva interna y los requisitos de cumplimiento obligatorio. EHS contribuye a reducir las grandes inversiones iniciales de capital y libera recursos de IT, posibilitando que las empresas se concentren en las áreas más importantes para su negocio. Este servicio, que funciona a través de Internet sin ningún hardware ni software que instalar en el lugar del equipo, permite que las organizaciones se protejan contra el software malintencionado que puede llegar por correo electrónico, satisfagan los requisitos de retención necesarios, cifren los datos para preservar la confidencialidad y contribuyan a mantener el acceso al correo electrónico durante y tras las situaciones de emergencia. Las organizaciones deciden si implementan sus soluciones de seguridad y cumplimiento en sus oficinas o en las nubes. Los servicios alojados filtran correos no deseados y virus del correo electrónico de la organización antes de que esos mensajes tengan la oportunidad de entrar en la red interna.

 
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft. Reservados todos los derechos.