Inicio>Servicio de firma digital para correos electrónicos

Servicio de firma digital para correos electrónicosHaz que todos tus correos tengan una identidad y elimina el fraude por correo completamente.

1. El fraude por correo es un problema de seguridad continuo

Debido a un defecto en el diseño del sistema de correo electrónico, el nombre y la dirección del remitente se pueden falsificar y reescribir ilegalmente, lo que crea un gran número de correos electrónicos falsos con todo tipo de fraude y estafas en correos que parecen reales. Los usuarios muchas veces son incapaces de defenderse contra este tipo de correos fraudulentos, y resultan en situaciones muy negativas para las personas. Los diferentes tipos de incidencias que ocurren con frecuencia son por ejemplo la perdida de propiedad, reputación incluso poniendo en riesgo la seguridad de las personas. El fraude por correo se ha convertido en uno de los problemas de seguridad en internet en todo el mundo, y no existe una solución definitiva.

Como se ve en la imagen de más abajo, el primero es un correo electrónico fraudulento del banco HSBC pero el mail del remitente es de un dominio real del banco. El segundo ejemplo es un correo falso del banco de América y el mail del remitente tiene también un dominio real. Por ello, normalmente muchos de los usuarios no son capaces de diferenciar un correo fraudulento. La URL de la página web del banco es real también, pero cuando el usuario pinche en ella llevará a una página web falsa. La página falsa del banco será igual a la real, por lo que una manera para saber si es falsa es comprobar la URL y encontrar si tiene un certificado SSL. Aunque puede ocurrir que algunas páginas falsas utilicen certificado SSL y los navegadores no sean capaces de detectarlas, por lo que puede ser peligroso.

2. La solución de MeSign

El problema de los correos electrónicos fraudulentos ha afectado a muchos usuarios en todo el mundo y continúa siendo un problema actualmente. Este peligro de ciberseguridad tiene que ser resuelto lo antes posible, es más, puede solucionarse completamente con la tecnología de firma electrónica. Se usa S/MIME para firmar digitalmente cada correo electrónico con un certificado, así cada email estará acompañado de una identificación digital, por lo que no solo garantiza la identidad real del remitente si no que el texto no puede ser alterado ilegalmente. Tampoco se podrá cambiar el correo electrónico del remitente y se podrá ver la información real de este, por lo que el usuario que reciba el mail podrá identificar si es una cuenta falsa o no, y así solucionar el problema de mails fraudulentos.

Pero, ¿Por qué esta tecnología no ha sido usada para solucionar el problema de mails fraudulentos? Porque los requerimientos para usar S/MIME son muy altos, no solo el software de correo tiene que soportar S/Mime, si no que los usuarios tienen que pedir un certificado S/MIME a una CA, luego instalarlo en su plataforma de correo electrónico y en todos sus dispositivos y después de haberlo instalado bien, saber como enviar mails firmados digitalmente. Por eso, usar la firma digital en emails para solucionar el problema de correo electrónicos fraudulentos, lleva mucho tiempo y trabajo que la mayoría de usuarios no puede hacer.

En el departamento de investigación y desarrollo de MeSign empezamos en 2015 a investigar como la firma y cifrado de S/MIME podía ser más fácil de usar. Lo que buscábamos era que los usuarios pudieran enviar correos electrónicos firmados como si fuese un mail normal, pero facilitando que fuese a través de cualquier dispositivo, en cualquier momento y lugar, sin tener que perder el tiempo y esfuerzo pidiendo un certificado o configurándolo. Por eso teníamos que encontrar una solución a los problemas de los certificados y configuración automática.

Nuestra solución es dividir el certificado de S/MIME en dos, un certificado de firma y otro de encriptación. La clave privada del certificado de encriptación se genera, se encripta de forma segura y se hospeda en la Infraestructura Criptográfica de MeSign (ICM). Una vez la cuenta del usuario ha sido validada, la clave de cifrado puede recuperarse de la nube ICM y puede ser usada para cifrar y descifrar automáticamente los correos electrónicos. El certificado de firma contiene la información del usuario y la firma tiene efecto legal, por ello, el certificado de la clave se genera y se guarda de forma segura solo en el dispositivo local del usuario. Por eso cada certificado en cada dispositivo tiene un número de serie diferente.

La tecnología de MeSign divide el certificado de correo electrónico tradicional en dos certificados y gestiona de manera diferente las claves dependiendo de si es encriptación o firmado, por lo que soluciona perfectamente la facilidad de usar encriptación de S/MIME. Al mismo tiempo, MeSign adopta la imposibilidad de falsificación del certificado S/MIME y hace de este la posibilidad de usarse sin tener ningún conocimiento de criptografía. Los usuarios se podrán desentender de como pedir un certificado o como usarlo, simplemente escribiendo un correo electrónico, al enviarlo se enviará automáticamente como un email firmado, con identidad y solucionando cualquier problema de correo electrónico fraudulento.

La tecnología de MeSign ha superado todas las dificultades de firma electrónica y encriptación que han ido surgiendo en 4 años. Hemos creado una infraestructura de encriptación segura y de confianza, y queremos compartirla con todo el mundo, para que cualquiera pueda utilizar firma y encriptación de S/MIME sin requerimientos y solucionando el problema de fraude sin invertir en instalaciones caras.

Como se puede ver en la imagen de abajo, La infraestructura criptográfica de MeSign consta de siete sistemas de servicios: la Autoridad de certificación de MeSign (ACM), el Sistema de gestión de claves criptográficas (GCC), Sistema de intercambio de claves públicas (SDC), Sistema de estado de revocación de certificados (SRC), Sistema de validación de identidad de MeSign (SVM), Sistema de servicio de marca de tiempo (SMC) y Sistema de servicio de firma digital MeSign (SFD). Estos sistemas de servicios de la nube trabajan juntos, con la aplicación MeSign, constituyendo la nube y el sistema de colaboración de cliente, para dar un servicio de encriptación de correo electrónico seguro y de confianza para firmado y cifrados de emails automáticos para todo el mundo. En otras palabras, la aplicación de MeSign no es un software de correo electrónico independiente o una herramienta de firmado electrónico, es un servicio orientado al usuario que permite gestionar los propios datos del usuario localmente para proteger la privacidad y también permite utilizar el servicio de la nube para encriptar mails, firmar electrónicamente mails, documentos y contratos automáticamente.

La razón por la que la aplicación de MeSign puede automatizar la firma de emails es porque soluciona completamente el problema del certificado y uso. MeSign hace que los usuarios puedan obtener certificados de firma para enviar correos electrónicos firmados en cualquier momento, lugar y desde cualquier dispositivo. La tecnología MeSign hace de la firma electrónica y encriptación de S/MIME algo fácil y simple, para que cualquier usuario de MeSign pueda enviar fácilmente emails encriptados o firmados. La aplicación de MeSign se ha implementado exitosamente en 163 países y regiones de todo el mundo. La tecnología MeSign hace que cada correo electrónico tenga una identidad de confianza para evitar fraude completamente. Al mismo tiempo, mostrar la información de la identidad validad del remitente es muy importante para correos electrónicos de trabajo y comunicaciones que no requieren cara a cara, por lo que aumentará la confianza online y cooperación de más empresas.

3. Implementación de la firma digital en correos electrónicos

El principio de implementación de la tecnología de firma de emails se puede ver en la imagen de abajo. El remitente firma el correo electrónico con una clave privada del certificado de firma (y encriptarlo al mismo tiempo). Después de recibir el email firmado, el destinatario usará la clave pública del certificado de firma para verificar si la firma es válida. Si la firma es válida, podrá probarse eficientemente que el correo electrónico del usuario no tiene una cuenta falsa y que la información de identidad que se muestra en la firma es de confianza.

La aplicación de MeSign no solo firma digitalmente cada email automáticamente, si no que también incluye una marca de tiempo a cada email de salida automáticamente para aportar una prueba de confianza. Esta marca de tiempo se puede usar para cualquier evidencia legal ya que no se puede alterar la marca de tiempo. Así como un correo postal debe de sellarse, enviar correos electrónicos también deberían de tener una marca de tiempo real. MeSign proporciona marca de tiempo en los correos electrónicos de manera legal y gratis a los usuarios de la aplicación en todo el mundo.

Como se puede ver en la imagen de abajo, si el banco HSBC usa su propio certificado para firmar un email para todos sus clientes y así estos sabrán fácilmente que el correo electrónico es realmente enviado por el banco HSBC, ya que MeSign mostrará la identidad de confianza. Es imposible para la cuenta falsa del banco tener un certificado de firma asociado al dominio del banco HSBC, por lo que la cuenta falsa solo podrá enviar emails sin firma digital. El banco solo tendrá que informar a sus clientes que cualquier email sin su firma digital será un email fraudulento y así estos no serán timados. Por eso la aplicación de MeSign acaba con los correos electrónicos fraudulentos con la identidad de cada usuario de manera fácil y efectiva.

4. Detalles del servicio

La tecnología de MeSign aporta el servicio de encriptado y el plan básico de firma digital gratis para todos los usuarios. La aplicación de MeSign auto configura el certificado de firma V1 gratuitamente, para validar el control de la cuenta y aportar a los usuarios el nivel básico de firmado electrónico para asegurar que el contenido de los emails no se altere ilegalmente y que la dirección de correo electrónico tampoco sea falsa. MeSign mostrará el mensaje: “V1 email validado, identidad no verificada” esto quiere decir que con la versión 1, la identidad del email no será validada como se muestra en la imagen 1.

Si el usuario quiere que se muestre el nombre completo o el nombre de la empresa en el correo electrónico enviado, tendrá que adquirir el plan Pro de firma de correo electrónico y completar la validación de identidad.

Después de que la identidad del usuario ha sido validad, la aplicación de MeSign mostrará el icono de validación V2, el nombre completo del remitente y “Identidad validada y de confianza” como se ve en la imagen 2 abajo. Después de que la identidad de la empresa es validada, se mostrará en la aplicación de MeSign el icono V3, el nombre de la empresa y “Identidad validada y de confianza” como se ve en la imagen 3 abajo, pero no se mostrará el nombre del remitente ya que MeSign solo habrá verificado la identidad de la empresa. Una vez pasa la validación, si se ha adquirido la validación de los empleados, desde MeSign se mostrará el icono V4, el nombre del empleado, la empresa, el puesto de trabajo y “Identidad validada y de confianza”, como se muestra en la imagen 4.


Imagen 1

Imagen 2

Imagen 3

Imagen 4

Si el usuario adquiere el plan Pro, no solo podrá configurar automáticamente los certificados de firma V1/V2/V3/V4 gratuitamente, si no que podrá firmar y tener una marca de tiempo en cada email con el certificado de firma. El destinatario podrá reconocer la identidad de confianza del remitente y evitar cualquier tipo de fraude. Para comunicaciones de negocios, que no son cara a cara, es muy importante, ya que aumenta la confianza online. Si todos los usuarios de correo electrónico pueden identificar correctamente la identidad de los remitentes utilizando la aplicación de MeSign, entonces es imposible que se les pueda estafar después de recibir un correo fraudulento, ya que los emails falsos no pueden firmarse con una identidad autentica y validada con certificado.

El plan Pro aporta los siguientes 10 servicios y funciones:

  1. 1) Autoconfiguración del certificado de firma de correo electrónico (V2/V3/V4) mostrando el nombre del remitente en el plan Pro Personal o el nombre de la empresa en el plan Pro Empresa.
  2. 2) Para usuarios individuales no hay limite de envíos de correo electrónico, por lo que todos los emails personales tendrán validación de identidad y se autoconfigurará el certificado de firma V2 conteniendo la información personal de identidad gratuitamente.
  3. 3) Para usuarios de empresa, no hay límite en el número de envíos para los empleados, se autoconfigurará el certificado de firma V3 incluyendo el nombre de la empresa gratuitamente.
  4. 4) No hay limite a la hora de usar MeSign para enviar emails firmados y con marca de tiempo para demostrar que la hora de envío es de confianza.
  5. 5) Cuando los destinatarios abran el email, la aplicación de MeSign mostrará la información de la identidad del remitente, con el nombre completo, el nombre de la empresa y su puesto de trabajo. También se mostrará “Identidad validada y de confianza”.
  6. 6) El correo puede ser encriptado y firmado digitalmente al mismo tiempo y automático con MeSign.
  7. 7) Incluye el intercambio de las claves públicas para que los usuarios no tengan que hacerlo ellos mismos.
  8. 8) Emisión automática de nuevos certificados de firma V2/V3/V4 por cada dispositivo nuevo en el que se use la aplicación MeSign sin límite y gratis. Esto es porque el certificado de firma está asociado a los dispositivos del usuario y los pares de claves del certificado son generados y guardados encriptados en los dispositivos del usuario.
  9. 9) Cada vez que el usuario recibe el email firmado, MeSign valida la firma y muestra la información de la identidad de confianza del remitente automáticamente.
  10. 10) Proporciona servicio de revocación de los certificados de firma para los usuarios.

El plan Pro se adquiere según el número de direcciones de correo. El plan incluye 10 empleados, en estas cuentas se configura automáticamente el certificado de empleado, con el nombre del empleado, el puesto, el nombre de la empresa, provincia, ciudad y país. También se configura automáticamente el certificado de correo Vp de confianza pública y si se necesitan cuentas para más empleados se pueden añadir. Estos certificados los asigna el administrador de la cuenta de la empresa de forma manual o automática y se configuran automáticamente y de forma gratuita, sin límite.