Proteger las comunicaciones por correo electrónico es esencial para la confianza digital, pero seleccionar el método de cifrado adecuado puede ser complicado. Este artículo analiza dos estándares de cifrado de correo electrónico: Microsoft Purview Message Encryption y S/MIME (Secure/Multipurpose Internet Mail Extensions).
Ambos estándares protegen el contenido del correo electrónico, pero difieren en la arquitectura de cifrado, la gestión de claves y la experiencia del usuario. Comprender estas diferencias ayuda a los equipos de TI a determinar el mejor enfoque para proteger los distintos niveles de datos confidenciales.
El cifrado de mensajes de Microsoft Purview es un servicio en la nube basado en Azure Rights Management (Azure RMS). Integra el cifrado con políticas de identidad y autorización.
MS Purview prioriza el control de acceso. Cuando un correo electrónico cumple criterios específicos, como que un usuario seleccione “Cifrar” o se active una regla de flujo de correo, el servicio protege el mensaje mediante claves de Azure específicas del inquilino. Los remitentes también pueden aplicar políticas de derechos, como “No reenviar” o “Solo cifrar”.
MS Purview es útil por su facilidad de uso. Los usuarios internos pueden trabajar con él sin problemas, y los destinatarios externos reciben los mensajes a través de un portal web seguro o verificando su identidad con servicios como Google o Microsoft. Dado que las claves de cifrado las administra el inquilino o Microsoft, MS Purview no ofrece un cifrado de extremo a extremo real. El proveedor de servicios aún puede descifrar técnicamente el contenido si es necesario para su procesamiento.
Una preocupación clave para las empresas es que Microsoft tiene su sede en Estados Unidos. Las agencias gubernamentales estadounidenses pueden solicitar acceso a claves de cifrado en virtud de leyes como la Ley Patriota. Si las autoridades obtienen estas claves, los usuarios podrían perder el acceso a sus correos electrónicos cifrados.
La Ley US CLOUD Act exige a Microsoft cumplir con las órdenes válidas del gobierno estadounidense en relación con los datos de sus clientes, incluso si estos se almacenan fuera de EE. UU. o si los clientes utilizan BYOK. Esto significa que Microsoft podría tener que proporcionar contenido descifrado si puede, ya que sigue teniendo acceso a los servicios incluso cuando los clientes utilizan sus propias claves. Los críticos señalan que BYOK protege contra el robo por parte de inquilinos, pero no impide las citaciones judiciales. Para una mayor protección, los clientes deberían utilizar Hold Your Own Key (HYOK) o elegir proveedores fuera de EE. UU., aunque HYOK puede limitar algunas funciones.
Si bien algunas organizaciones pueden considerar esto una ventaja, puede ser un problema para quienes desean tener control total sobre sus claves de cifrado. Dada la situación geopolítica actual, este riesgo podría afectar gravemente las operaciones comerciales.
S/MIME es un estándar abierto basado en la Infraestructura de Clave Pública (PKI). A diferencia del enfoque basado en inquilinos de MS Purview, S/MIME utiliza pares de claves públicas y privadas únicos para cada usuario.
Esta norma proporciona dos propiedades de seguridad críticas:
La elección entre MS Purview y S/MIME depende de si la prioridad es el control centralizado o la seguridad criptográfica.
Para usar MS Purview, necesita un plan de Microsoft 365 elegible, como:
Estos planes incluyen Azure Rights Management, que el inquilino puede habilitar. No se requiere software adicional para los dispositivos de los usuarios. Los usuarios internos acceden al correo electrónico cifrado directamente en Outlook, mientras que los destinatarios externos utilizan un portal web seguro.
Para las suscripciones de nivel inferior, como Exchange Online Plan 1/2, Microsoft 365 Business Basic/Standard u Office 365 F1/E1/F3, debe comprar un complemento, como Azure Information Protection Plan 1 o el complemento Microsoft Purview Message Encryption, para habilitar esta función.
Las organizaciones sin MS Purview ni el complemento Azure Information Protection Plan 1 no pueden enviar correos electrónicos cifrados con esta función. Los usuarios no verán la opción “Cifrar” en Outlook ni en OWA, y las reglas de flujo de correo no aplicarán el cifrado.
Los usuarios internos aún pueden recibir y ver correos electrónicos cifrados con MS Purview de remitentes externos en Outlook. El descifrado depende del RMS del inquilino del remitente y de la autenticación del destinatario.
Para utilizar S/MIME, se requiere lo siguiente:
El certificado de cada usuario debe estar instalado en su cliente de correo electrónico, como Outlook, o mediante un complemento. Los usuarios pueden elegir cuándo cifrar o firmar los mensajes, o establecer el cifrado como predeterminado. Los destinatarios deben usar un cliente de correo electrónico compatible con S/MIME y tener su propio certificado para descifrar los mensajes. No se utiliza ningún portal web.
Si bien ahora la automatización es esencial para gestionar la reducción continua de los períodos de validez de SSL/TLS, también es fundamental para aprovechar todos los beneficios de seguridad de S/MIME sin una carga administrativa adicional.
KeyTalk CKMS (Sistema de Gestión de Certificados y Claves) transforma S/MIME, una tarea de alto mantenimiento, en una solución escalable y automatizada. KeyTalk elimina los desafíos tradicionales de S/MIME al automatizar todo el ciclo de vida de los certificados, incluyendo la emisión, renovación y revocación.
KeyTalk CKMS aborda los desafíos tecnológicos y operativos a menudo asociados con la adopción de S/MIME, lo que facilita la implementación y automatización de una arquitectura S/MIME integral en cualquier organización.
Para las organizaciones que requieren una identidad de alta seguridad y un cifrado de extremo a extremo auténtico, S/MIME sigue siendo el estándar de referencia. Al adoptar soluciones de gestión automatizada, los equipos de TI pueden implementar estos rigurosos estándares de seguridad y, al mismo tiempo, evitar los problemas operativos de la gestión manual de certificados.
Esta entrada de blog analizó el cifrado de mensajes de Microsoft Purview y las extensiones de correo electrónico seguro/multipropósito (S/MIME) para el cifrado de correo electrónico. Ambos protegen el contenido del correo electrónico, pero utilizan diferentes tecnologías, métodos de cifrado, autenticación y modelos de confianza. También varían en la experiencia de los usuarios, su facilidad de configuración y su eficacia en diferentes organizaciones.
MS Purview se basa en Azure Rights Management (Azure RMS), lo que facilita su configuración y uso con Microsoft 365. Sin embargo, no ofrece cifrado completo de extremo a extremo, ya que Microsoft aún puede acceder a los mensajes. Ante cualquier cambio geopolítico, esto debería reconsiderarse cuidadosamente, ya que las agencias gubernamentales pueden tener acceso a información confidencial del correo electrónico y, por lo tanto, afectar las operaciones comerciales.
S/MIME utiliza una infraestructura de clave pública (PKI) para proporcionar un cifrado más fuerte y firmas digitales, pero es más difícil de administrar y tanto el remitente como el destinatario necesitan usar certificados.
de KeyTalk hace que S/MIME sea más fácil de usar al automatizar la administración de certificados, simplificar la instalación y la configuración, brindar soporte a destinatarios externos y ayudar a mejorar la seguridad y el cumplimiento.
——-
¿Tiene alguna pregunta sobre este artículo o sobre cómo KeyTalk CKMS le facilita la gestión y automatización de certificados digitales? Nuestro equipo de soporte está disponible 24/7 para ayudarle a implementar una arquitectura PKI totalmente automatizada por correo electrónico o en nuestra página de contacto .
El equipo de KeyTalk
