Cifrado y comunicación segura

Correo electrónico cifrado

Lectura de aproximadamente 4 minutos

Última actualización: 2026-01-15

Qué es el correo cifrado

El correo cifrado (Encrypted Email) es una tecnología que cifra el cuerpo del correo electrónico y los archivos adjuntos para que nadie excepto el remitente y el destinatario pueda leer el contenido. El correo normal se envía en un estado donde cualquiera en la ruta de entrega puede leer el contenido, como una postal.

El cifrado entre servidores de correo mediante TLS/SSL (STARTTLS) está extendido, pero esto solo protege la vía de comunicación entre servidores. En los servidores de correo, los correos se almacenan en texto plano, por lo que si un administrador del servidor o un hacker accede, puede leer el contenido.

Al aplicar el cifrado de extremo a extremo al correo, los intermediarios, incluidos los servidores de correo, no pueden acceder al contenido del correo. Los medios para lograrlo son PGP y S/MIME.

Funcionamiento de PGP y S/MIME

  • PGP (Pretty Good Privacy) / GPG: Utiliza criptografía de clave pública para cifrar el correo con la clave pública del destinatario. La confianza en las claves se basa en el modelo de "red de confianza (Web of Trust)", donde los usuarios firman mutuamente las claves públicas de los demás para construir confianza. Es un modelo descentralizado que no depende de una autoridad de certificación central. GPG (GNU Privacy Guard) es la implementación de código abierto.
  • S/MIME (Secure/Multipurpose Internet Mail Extensions): Cifra y firma correos utilizando certificados digitales. Al usar certificados emitidos por una autoridad de certificación (CA), es fácil de implementar en entornos empresariales. Los principales clientes de correo como Outlook, Apple Mail y Thunderbird lo soportan de forma estándar.

Ambos se basan en la criptografía de clave pública, pero difieren en el modelo de gestión de claves. PGP es adecuado para individuos y comunidades, mientras que S/MIME es adecuado para entornos donde el departamento de TI de la empresa gestiona de forma centralizada.

Opciones de servicios de correo cifrado

Dado que la configuración de PGP y S/MIME tiene una barrera técnica alta, han surgido servicios de correo que procesan el cifrado automáticamente.

  • ProtonMail: Con sede en Suiza. Los correos entre usuarios se cifran automáticamente con E2EE. También es posible el cifrado con contraseña para envíos a no usuarios. Plan gratuito disponible.
  • Tutanota: Con sede en Alemania. Utiliza un protocolo de cifrado propio. También cifra el calendario y los contactos. Plan gratuito disponible.
  • Mailfence: Con sede en Bélgica. Cifrado basado en PGP. También compatible con firmas digitales.

La ventaja de estos servicios es que los usuarios pueden utilizar correo cifrado sin ser conscientes de la gestión de claves. Sin embargo, es importante tener en cuenta que en muchos casos no se logra E2EE a menos que ambas partes utilicen servicios de correo cifrado.

Limitaciones y consideraciones del correo cifrado

El correo cifrado tiene algunas limitaciones importantes.

  • Los metadatos no se cifran: La información del encabezado como el asunto, remitente, destinatario y fecha de envío no se cifra (en el caso de PGP). Lo mismo ocurre con S/MIME. Quién envió correo a quién es visible para terceros.
  • Carga de la gestión de claves: Con PGP, es necesario obtener previamente la clave pública del destinatario. La pérdida de la clave significa la pérdida permanente del correo cifrado.
  • Limitaciones de búsqueda: Los correos cifrados con E2EE no se pueden buscar del lado del servidor. Se limita a la búsqueda del lado del cliente, lo que es inconveniente al manejar grandes volúmenes de correo.
  • No es una medida contra el phishing: El cifrado protege la confidencialidad del contenido de la comunicación, pero para juzgar si el remitente del correo es auténtico se necesitan otros mecanismos (DKIM, DMARC).

El correo cifrado es efectivo cuando se necesita enviar información de alta confidencialidad por correo, pero no es necesario cifrar todos los correos cotidianos. Un uso diferenciado según el riesgo es lo más realista.

Procedimiento de implementación del correo cifrado

Explicamos el procedimiento para implementar correo cifrado basado en PGP a nivel individual y las consideraciones para el despliegue organizacional.

Generación del par de claves PGP: Instale GPG (GNU Privacy Guard) y genere un par de claves con el comando gpg --full-generate-key. Seleccione RSA 4096 bits o Ed25519 como algoritmo. Se recomienda establecer un período de validez de la clave de aproximadamente 2 años y una operación de rotación periódica. Establezca una frase de contraseña suficientemente larga y compleja para prevenir el uso no autorizado de la clave privada.

Distribución de la clave pública: Publique la clave pública generada en un servidor de claves (keys.openpgp.org, etc.) o distribuya la huella digital de la clave pública en su sitio web o tarjeta de visita. Si la publica en un servidor de claves, keys.openpgp.org realiza verificación de la dirección de correo electrónico, lo que reduce el riesgo de suplantación y es recomendable. Por el mecanismo de la criptografía de clave pública, es seguro distribuir ampliamente la clave pública.

Configuración del cliente de correo: Thunderbird soporta OpenPGP de forma estándar, y desde la pantalla de configuración se puede importar claves y habilitar el cifrado. Si utiliza correo web (Gmail, etc.), instale la extensión de navegador Mailvelope. Mailvelope procesa de forma transparente el cifrado, descifrado y firma PGP en correos web como Gmail, Outlook.com y Yahoo! Mail. En la configuración inicial, genere o importe un par de claves, añada las claves públicas de los destinatarios al llavero, y aparecerá un botón de cifrado en la pantalla de composición de correo.

Consideraciones para el despliegue organizacional: Cuando una empresa despliega correo cifrado a nivel de toda la organización, S/MIME suele ser más fácil de gestionar. Obtenga certificados S/MIME de forma masiva de una CA interna o comercial y distribúyalos a cada dispositivo a través de MDM (Mobile Device Management). La decisión de implementar el depósito de claves (mecanismo donde la organización mantiene una copia de la clave privada) debe basarse en el equilibrio entre la necesidad de descifrar correos cuando un empleado deja la empresa y la privacidad. En la definición estricta de cifrado de extremo a extremo, el depósito de claves contradice E2EE, pero puede ser necesario por requisitos de cumplimiento empresarial.

Conceptos erróneos comunes

Gmail y Outlook están cifrados, así que son seguros
Gmail y Outlook cifran la comunicación entre servidores con TLS, pero los correos se almacenan descifrados en los servidores. Google y Microsoft pueden acceder al contenido del correo y pueden utilizarlo para mostrar anuncios o funciones de IA.
El correo cifrado solo lo pueden usar los técnicos
Con servicios como ProtonMail o Tutanota, se puede utilizar correo cifrado con la misma experiencia de uso que el correo normal. No se necesita gestión de claves PGP y se puede empezar solo con crear una cuenta.

Comparación entre PGP y S/MIME

PGP / GPG

Modelo de red de confianza (Web of Trust). No depende de una autoridad de certificación central. Código abierto. Adecuado para uso individual y comunitario. La distribución y gestión de claves es responsabilidad del usuario.

S/MIME

Utiliza certificados emitidos por una autoridad de certificación (CA). Fácil de gestionar de forma centralizada por el departamento de TI de la empresa. Soportado de forma estándar por los principales clientes de correo. La obtención de certificados puede tener coste.

Términos relacionados

Cifrado de extremo a extremo (E2EE) Un método de cifrado donde los datos se cifran en el dispositivo del remitente y… Criptografía de clave pública Un método criptográfico que utiliza un par de claves matemáticamente vinculadas … Phishing Un método de ataque que suplanta la identidad de organizaciones legítimas, banco… Metadatos Datos que describen otros datos, proporcionando contexto sobre cómo, cuándo, dón… TLS/SSL Protocolos criptográficos que cifran las comunicaciones de internet para garanti…

Artículos relacionados

Comparación de servicios de correo cifrado - ProtonMail vs Tuta vs Mailfence Compara servicios de correo electrónico con cifrado de extremo a extremo y aprende a construir un en… Fundamentos de seguridad del correo electrónico - Cómo protegerte del phishing Aprende a identificar correos de phishing, comprende el cifrado de correo electrónico y sigue consej…
← Glosario