Estándares de seguridad de correo electrónico en la abogacía

El correo electrónico es indispensable en la actividad diaria de despachos y departamentos jurídicos. Con frecuencia se intercambia información sensible y confidencial. Por ello, es fundamental implementar medidas técnicas adecuadas para garantizar la seguridad y confidencialidad de las comunicaciones.

El problema de la baja implementación del cifrado de extremo a extremo (E2E) mediante SMIME o PGP es conocido. La posibilidad de comunicarse con el cliente (especialmente con personas particulares) mediante cifrado E2E fracasa, por lo general, por la simple falta de viabilidad práctica.

Requisitos legales para la abogacía en la comunicación por correo electrónico

Los abogados son profesionales con deber de secreto profesional. Precisamente debido a esta condición, tienen la obligación especial de garantizar que el contenido de las comunicaciones entre ellos y sus clientes permanezca confidencial.

La Guía de orientación de la Conferencia de Autoridades Independientes de Protección de Datos de la Federación y los Estados Federados del 27 de mayo de 2021 distingue entre obligaciones ante riesgos normales y obligaciones ante riesgos elevados. Dependiendo de ello, el cifrado en tránsito puede ser protección suficiente, o bien puede ser necesario un cifrado en tránsito cualificado y, en su caso, cifrado E2E.

Dado que la existencia de secreto profesional puede ser un indicio de riesgo elevado, los profesionales con deber de secreto profesional deben evaluar especialmente el nivel de riesgo en cada caso.

El cifrado en tránsito cualificado debería utilizarse por defecto

Hoy en día prácticamente no existen servicios de correo electrónico que no tengan activado el cifrado en tránsito. Esto significa que, en caso de riesgo normal, se puede asumir en la mayoría de los casos que la comunicación con el cliente cumple con la normativa de protección de datos. No obstante, persiste un riesgo elevado en casos individuales: ¿se podía recibir o enviar por correo electrónico el certificado de incapacidad laboral en la comunicación normal de un caso de derecho laboral?

En este contexto, es recomendable que un despacho adopte en todo caso las medidas técnicas para implementar el cifrado en tránsito cualificado.

Cifrado en tránsito cualificado según BSI TR-03108

El BSI (Oficina Federal de Seguridad de la Información de Alemania) establece con la Directiva Técnica TR-03108 los requisitos para la comunicación segura por correo electrónico y define el estado de la técnica. Una parte de las medidas de seguridad debe ser proporcionada o implementada por los proveedores de correo electrónico. Sin embargo, para el funcionamiento e interacción de los distintos protocolos de seguridad es necesario adaptar las entradas DNS específicas del dominio.

El esfuerzo de implementación del cifrado en tránsito cualificado se produce una sola vez

Considerando que el cifrado en tránsito cualificado solo debe ser configurado una vez por el despacho como requisito previo y después permite un nivel de protección significativamente mayor en el tráfico de correo electrónico sin más intervención, resulta sorprendente que solo aproximadamente el 4 por ciento de los despachos en Alemania lo hayan activado.

En muchos casos, los administradores del despacho podrían realizar la configuración sin costes adicionales y sin interrupciones del servicio.

Estudio: Implementación de técnicas de seguridad de correo electrónico en la abogacía

Los autores analizaron, antes de la elaboración de este artículo, aproximadamente 25.000 registros del conjunto de datos del Directorio Oficial de Abogados a Nivel Federal de la Cámara Federal de Abogados y sometieron las direcciones de correo electrónico contenidas a un análisis. Se recuperaron las entradas específicas de correo electrónico de los servidores de dominio para los dominios asociados a las direcciones de correo electrónico y se analizaron (de forma no intrusiva) los servidores de correo electrónico identificados.

Obtención de datos mediante el servicio de búsqueda de la Cámara Federal de Abogados

En Alemania hay aproximadamente 165.800 abogados y abogadas autorizados y localizables mediante el servicio de búsqueda de la BRAK. El sitio web del Directorio Oficial de Abogados a Nivel Federal ofrece la posibilidad de listar todos los abogados y abogadas autorizados para cada una de las 29 circunscripciones de cámaras. Estos se muestran en grupos de seis entradas por página. Mediante web scraping, descargamos y guardamos las direcciones de correo electrónico de las seis personas listadas en cada quinta página del directorio de abogados para cada circunscripción de cámara. De esta manera, se registró aproximadamente el 20 % de los abogados y abogadas autorizados en Alemania.

No se pudo obtener una dirección de correo electrónico para cada entrada. Muchas personas registradas en el directorio utilizan el mismo dominio en su correo electrónico. Ya sea porque utilizan el servidor de correo electrónico de, por ejemplo, T-Online sin dominio propio, o porque como miembro de un gran despacho como Fresh*** tenían una dirección de correo electrónico "@fresh***.com".

Después de limpiar los datos obtenidos de errores y duplicados, se pudo generar un total de 12.105 dominios de correo electrónico distintos. El dominio de correo electrónico designa aquí la parte de una dirección de correo electrónico después del signo "@", por ejemplo "t-online.de" para "ra-schmidt2341@t-online.de".

Análisis de los protocolos de seguridad implementados por dominio de correo electrónico

Los protocolos de seguridad presentados en el resto del artículo pueden verificarse para cada dominio de correo electrónico mediante consultas específicas al servidor DNS y mediante intentos de conexión al servidor de correo registrado en la entrada DNS.

Para ello se utiliza la herramienta de Linux "dig" así como un software de código abierto mecsa-st publicado por la Comisión Europea en el marco de un estudio de 2020. (Enlace a la herramienta en GitHub)

Cada uno de los 12.105 dominios fue posteriormente examinado con ambas herramientas y los resultados se almacenaron temporalmente para análisis posteriores.

Debido a la naturaleza de la investigación, solo se pudieron examinar partes de los protocolos de seguridad. Para un análisis completo de la correcta implementación de los respectivos protocolos de seguridad habría sido necesaria una comunicación real por correo electrónico con el servidor de correo examinado. Por lo tanto, el análisis se limita a la presencia de las entradas DNS reconocibles "desde el exterior", que permiten inferir una implementación (correcta) en el servidor de correo.

Con respecto a TLS, cabe añadir que el análisis solo registra si un servidor de correo es compatible con TLS, pero no si recibe o envía obligatoriamente solo por TLS.

Limpieza y evaluación de los resultados del análisis

Los resultados del análisis de los 12.105 dominios consultados requirieron algunos pasos de limpieza antes de su evaluación. Así, se descubrió después del análisis que algunos servidores de correo consultados frecuentemente aparentemente devolvían un resultado negativo para la prueba STARTTLS, aunque sí son compatibles con STARTTLS. Esto pudo atribuirse a que el análisis realizado por los autores superaba el límite de solicitudes por tiempo en los servidores correspondientes.

Estas inconsistencias en los datos pudieron eliminarse mediante verificaciones de seguimiento manuales.

Resultados del análisis: Implementación de los protocolos de seguridad

El estudio realizado por los autores revela una imagen fundamentalmente positiva:

De los 11.546 dominios evaluables después de la corrección de errores, 11.436 de los servidores de correo electrónico utilizados tienen TLS implementado con certificados válidos (más del 99 %). (Cabe señalar aquí que no se puede concluir con seguridad que los demás no hayan implementado TLS en absoluto. Puede haber diferentes razones por las que la prueba arroje resultados falsos negativos en conexiones individuales.)

Una gran mayoría también ha implementado los importantes protocolos DKIM y SPF. Curiosamente, la entrada DMARC correspondiente solo está configurada con el valor "quarantine" o "reject" en aproximadamente una cuarta parte de los dominios analizados. Esto resulta sorprendente, ya que se basa directamente en DKIM y SPF y no supone un esfuerzo de implementación adicional para el abogado o despacho respectivo.

Sin embargo, DANE y DNSSEC quedan muy rezagados. Hay algunos proveedores que ya implementan estos protocolos de seguridad por defecto. Si un despacho o un abogado o abogada utiliza este servicio directamente (es decir, sin dominio propio), se beneficia inmediatamente de ello.

Implementación para despachos

La mayoría de los despachos y departamentos jurídicos no operan sus propios servidores de correo, sino que utilizan servicios de terceros proveedores como Microsoft 365 o Google Workspace. No obstante, suelen tener su propio dominio.

Para poder utilizar medidas como SPF, DKIM, DMARC o DANE, deben crearse e ingresarse las entradas DNS necesarias para el dominio propio. Las verificaciones y acciones reales las realizan entonces los servidores de correo de los proveedores de servicios. En esencia, se trata de configuraciones que solo deben realizarse una vez.

TLS ya es estándar en todos los servidores de correo comunes y normalmente no requiere ninguna acción por parte del despacho. Por lo tanto, no sorprende la implementación prácticamente completa de este estándar observada.

Los administradores (o abogados y abogadas con conocimientos técnicos) pueden ingresar las configuraciones necesarias en el sistema DNS del dominio propio.

DANE y DNSSEC ya son compatibles con muchos registradores de dominios. Sin embargo, la implementación es diferente: algunos proveedores ofrecen una activación cómoda con un botón y realizan automáticamente las configuraciones necesarias. Otros requieren una configuración más compleja que debe realizar el administrador del despacho.

Para implementar DANE, después de activar DNSSEC deben configurarse los llamados registros TLSA. No tenemos una visión completa del mercado, pero por experiencia propia (y dolorosa) tuvimos que constatar que, por ejemplo, Microsoft con su oferta de servidor de correo (Exchange 365) no puede facilitar fácilmente la provisión de la información necesaria:

Dado que la Directiva Técnica BSI-TR-03108 considera necesaria la implementación de DANE para el tráfico de correo electrónico seguro, los despachos deberán ocuparse, en su caso, de los aspectos de seguridad compatibles con los proveedores de servicios de correo.

Conclusión

La seguridad del correo electrónico es un tema importante para cada despacho. Medidas como TLS, SPF, DKIM y DMARC pueden implementarse con un esfuerzo razonable y ofrecen una protección eficaz contra muchas amenazas. DANE y DNSSEC ya son legalmente necesarios hoy en día, pero considerando su implementación y los obstáculos para su puesta en práctica, actualmente deben considerarse como prometedores para el futuro.

Plataforma MaraDocs Upload

Como complemento a nuestro producto actual MaraDocs, estamos desarrollando activamente una plataforma de carga para permitir el intercambio de archivos entre despachos y clientes. La plataforma garantizará que los archivos intercambiados entre despachos y clientes sean confidenciales y seguros.

Manténgase informado con nosotros y suscríbase a nuestro boletín.