Esta guía te proporciona una visión general del análisis de seguridad de Mailfence.
Ningún proveedor de correo electrónico puede garantizar que sea 100% seguro y privado. Cada servicio tiene sus desventajas, y es importante conocerlas antes de elegir uno.
La siguiente tabla proporciona un análisis de seguridad de alto nivel de nuestro servicio de correo electrónico con respecto al tipo de información y el nivel de protección que mantiene.
| Tipo de información | Nivel de protección |
| Fuente de datos aleatorios al crear nuevas claves PGP | Entropía recogida a través del dispositivo cliente |
| Contraseña encriptada en la transmisión del navegador al servidor web | SSL/TLS |
| Contraseña almacenada de forma segura en el servidor web | SHA256 (iterado y hash) |
| Exposición de la frase de contraseña de la clave privada | La comprobación de la frase de contraseña para todas las actividades criptográficas siempre se produce en el lado del cliente y nunca se expone al servidor. |
| Clave privada encriptada en la transmisión entre el navegador y el servidor web | Dos capas de encriptación: 1- Con frase de contraseña de usuario (mediante AES) 2- TLS/SSL |
| Clave privada encriptada almacenada | Con frase de contraseña de usuario (mediante AES) |
| Clave privada descifrada en el servidor web | No se aplica a Mailfence, ya que todo el cifrado de la clave privada se realiza en el lado del cliente con la frase de contraseña del usuario. |
| Mensajes encriptados de extremo a extremo durante la transmisión desde el navegador del cliente a los servidores Mailfence | Dos capas de encriptación: 1 – OpenPGP 2 – SSL/TLS |
| Cuerpo de los mensajes y archivos adjuntos encriptados de extremo a extremo durante la transmisión entre el servidor web y la cuenta de correo electrónico del destinatario | 1 – OpenPGP 2 – STARTTLS (si lo admite el destinatario) |
| Cuerpo de los mensajes cifrado de extremo a extremo y archivos adjuntos cifrados en el almacenamiento del servidor web | OpenPGP |
| Cuerpo de los mensajes cifrado de extremo a extremo y archivos adjuntos conocidos por el servidor web | No (excepto elementos enviados y borradores) – las cripto-operaciones relativas al extremo a extremo se producen en el lado del cliente |
| Cabeceras de mensaje encriptadas durante la transmisión del navegador al servidor web | SSL/TLS |
| Cabeceras de mensaje encriptadas durante la transmisión entre el servidor web y la cuenta de correo electrónico del destinatario | STARTTLS (si lo admite el destinatario) |
| Cabeceras de mensaje almacenadas en el servidor web | No encriptado |
Análisis de vulnerabilidad
Los siguientes puntos se aplican a los correos electrónicos enviados mediante encriptación de extremo a extremo:
| Ataque | Nivel de protección |
| El atacante está escuchando tu conexión a Internet | Protegido |
| El atacante accede al correo electrónico almacenado en el servidor | Protegido |
| El atacante accede a las bases de datos del servidor | Protegido |
| Un atacante compromete el servidor web después de que hayas accedido a tu correo electrónico | Protegido |
| Ataque MiTM de alto nivel – en el que un adversario te envía un código falso para que compruebes todas las operaciones relacionadas con la criptografía | No protegido |
| El atacante tiene acceso a tu cuenta | Protegido (pero los mensajes cifrados de extremo a extremo enviados podrán verse en texto claro) |
| El atacante tiene acceso a tu ordenador antes de que tú accedas a tu correo electrónico (y puede instalar programas como key logger/malware…) | No protegido |
Si tienes alguna duda o pregunta sobre el análisis de seguridad de mailfence, no dudes en ponerte en contacto con nosotros a través de support@mailfence.com.