• El foro de relojes de habla hispana con más tráfico de la Red, donde un reloj es algo más que un objeto que da la hora. Relojes Especiales es el punto de referencia para hablar de relojes de todas las marcas, desde Rolex hasta Seiko, alta relojería, relojes de pulsera y de bolsillo, relojería gruesa y vintages, pero también de estilográficas. Además, disponemos de un foro de compraventa donde podrás encontrar el reloj que buscas al mejor precio. Para poder participar tendrás que registrarte.

    IMPORTANTE: Asegúrate de que tu dirección de email no está en la lista Robinson (no publi), porque si lo está no podremos validar tu alta.

Octubre mes de la Ciberseguridad - Día 23: Privacidad y seguridad en el correo electrónico

  • Iniciador del hilo Iniciador del hilo jorgesdb
  • Fecha de inicio Fecha de inicio
jorgesdb

jorgesdb

Forer@ Senior
Contribuidor de RE
Verificad@ con 2FA
Hoy vamos a ver otro de los pilares de Internet y de nuestra seguridad/privacidad, el correo electrónico.

Por qué el correo es el eje de tu seguridad digital​

  • Es el punto de recuperación de tus otras cuentas. Si alguien accede a tu correo, puede resetear contraseñas en bancos, redes o tiendas.
  • Es la mayor fuente de metadatos: contactos, IPs, ubicaciones, temas, adjuntos.
  • Muchas empresas lo usan para tracking invisible: imágenes o píxeles en correos comerciales que informan de si abriste un mensaje y desde dónde.
  • Los grandes servicios gratuitos (Google, Microsoft) monetizan esos datos directa o indirectamente.

Veamos una comparativa general


GmailOutlook.com / Microsoft 365Proton MailTutanota
EmpresaGoogle (EE. UU.)Microsoft (EE. UU.)Proton AG (Suiza)Tuta GmbH (Alemania)
Modelo de negocioPublicidad y datos (versión gratuita)Publicidad y servicios cloud (Microsoft 365)Suscripción (freemium, sin publicidad)Suscripción (freemium, sin publicidad)
Ubicación servidoresEE. UU. y centros globalesEE. UU. y UE (según contrato)Suiza 🇨🇭Alemania 🇩🇪
Cumplimiento legalLeyes EE. UU. (Patriot Act, FISA)Leyes EE. UU. y UE (según región)Leyes suizas (fuera UE y EE. UU.), de momento igual o más estrictas que las de la UELeyes UE/alemanas (RGPD, BDSG)
Cifrado extremo a extremo (E2EE)❌ No (solo TLS en tránsito)❌ No (solo TLS)✅ Sí (mensajes, adjuntos, contactos)✅ Sí (mensajes, adjuntos, contactos)
Cifrado de metadatos (asunto, remitente)❌ No❌ No⚙️ Parcial (asunto no cifrado por compatibilidad SMTP)⚙️ Parcial (igual que Proton)
Código abierto❌ No❌ No✅ Parcial (cliente web y apps)✅ Parcial (cliente, apps y librerías)
Acceso de terceros / escaneoSí (IA y filtros de anuncios, aunque dicen no usar contenido para anuncios desde 2017)Sí (para seguridad y servicios cloud)No, “zero-access encryption”No, “zero-knowledge encryption”
Rastreo y analíticaAlta (cookies, píxeles, logs de uso, integración con Analytics y Ads)Media (telemetría y logs)Muy baja (solo métricas anónimas)Muy baja (sin rastreadores)
Intercambio con tercerosPublicidad y marketingPublicidad y servicios de MicrosoftNingunoNinguno
Soporte IMAP/SMTP estándarSí (con cifrado mediante Bridge)Sí (con cifrado mediante Bridge)
PrecioGratuito (o Workspace desde 6 €/mes)Gratuito (o Microsoft 365 desde 7 €/mes)Gratuito (limitado) o desde 3,99 €/mesGratuito (limitado) o desde 3 €/mes
Anonimato / registro mínimo❌ Requiere teléfono o cuenta Google❌ Requiere Microsoft ID✅ No exige datos personales✅ No exige datos personales


Gmail y Outlook: servicios cómodos, pero dependientes del negocio de los datos​

Gmail (Google)​

  • Utiliza tus datos para mejorar su ecosistema: Gmail, YouTube, Maps, Android, Chrome, etc.
  • Hasta 2017 analizaba el contenido de los correos para publicidad; ahora dice que no lo usa “directamente” para anuncios, pero sigue procesando metadatos (quién escribe, cuándo, frecuencia).
  • Todos los correos y adjuntos están almacenados sin cifrado extremo a extremo (Google puede acceder a ellos por requerimiento legal o técnico).
  • Ofrece buena seguridad contra phishing y malware, pero poca privacidad real.
  • Integración profunda con herramientas de IA (Gmail Help Me Write, Smart Reply) que procesan tu texto en la nube.
Jurisdicción: Estados Unidos → sujeto a leyes como el Patriot Act y acuerdos internacionales de transferencia de datos.

Outlook.com / Microsoft 365​

  • Microsoft recopila telemetría de uso (cuántas veces abres correos, cuándo, con qué dispositivo).
  • El correo se analiza con fines de seguridad, detección de spam y servicios empresariales.
  • No hay cifrado E2EE nativo salvo en versiones de pago (Microsoft 365 “Message Encryption”, con claves gestionadas por Microsoft).
  • Integración con OneDrive y Teams (muy útil, pero no privada).
Jurisdicción: Estados Unidos y la UE (algunos servidores europeos), pero los datos pueden ser accedidos por autoridades estadounidenses bajo leyes FISA.

Si eres una empresa te interesa saber que la propia Microsoft ha confesado que los datos alojados en sus servicios, estén donde estén, están disponibles para el gobierno de EE.UU bajo petición, lo mismo para cualquier otra empresa americana.


Proton Mail y Tutanota: privacidad y cifrado por diseño​

Ambos servicios tienen algo en común: su modelo de negocio no depende de tus datos, sino de suscripciones.
No muestran anuncios, no venden estadísticas, y usan cifrado fuerte para que ni ellos puedan leer tus correos.

Proton Mail (Suiza)

  • Basado en el principio de “zero-access encryption”: tus mensajes se cifran en tu dispositivo antes de subir al servidor.
  • Ni Proton ni terceros pueden leerlos.
  • Compatible con RGPD, pero además protegido por leyes suizas (más estrictas que las europeas en materia de privacidad).
  • Interfaz moderna y apps móviles estables.
  • Cifrado entre usuarios de Proton automáticamente (end-to-end).
  • Puedes enviar correos cifrados con contraseña a usuarios externos (se abre desde una página segura).
  • Integración con Proton Drive, Proton VPN, Proton Calendar — todo bajo el mismo ecosistema cifrado.
Punto fuerte: servidores en Suiza fuera del alcance directo de EE. UU. y la UE; sin rastreadores, sin anuncios, sin cookies de seguimiento.

Financiación: 100 % por suscripciones y donaciones, no por datos, entre los que me incluyo desde su fundación.

Tutanota (Alemania)

  • Cifrado extremo a extremo y de “zero-knowledge”: ni siquiera los administradores pueden acceder a los datos del buzón.
  • Cifra también asuntos y metadatos del remitente en mayor medida que Proton (dentro de lo que permite SMTP).
  • Código abierto y auditado.
  • Cumple estrictamente el RGPD y la ley alemana de protección de datos (BDSG).
  • Servidores alojados exclusivamente en Alemania.
  • Incluye calendario y contactos cifrados.
  • Su app y webmail bloquean rastreadores y scripts externos automáticamente.
  • Permite comunicación cifrada con usuarios externos mediante contraseña o enlace seguro.
Punto fuerte: máxima privacidad dentro de la UE, transparencia y software libre.

Financiación: suscripciones (sin anuncios ni tracking).

Diferencias clave entre “seguridad” y “privacidad”​

  • Seguridad: evitar que terceros (hackers, malware) accedan a tu cuenta.
    Todos los proveedores grandes ofrecen 2FA, filtros de spam, etc.
  • Privacidad: evitar que el propio proveedor lea, analice o comparta tu información.
    Solo Proton Mail y Tutanota lo garantizan mediante cifrado end-to-end y políticas “zero access”.

Seguramente estás pensando que no tienes nada que ocultar y que te puedes permitir usar servicios como Gmail o Outlook donde pueden ver y analizar tus emails, archivos y fotos subidos a sus nubes...

No será el primer caso de bloqueo de datos porque el algoritmo ha considerado que imágenes o textos incumplen la legalidad (aunque sean falsos positivos). En el peor caso te puedes ver ante las autoridades dando explicaciones.

¿Qué rastrean los grandes proveedores?​

  • Gmail y Outlook: rastrean IP de conexión, fecha y hora de envío, ubicación estimada, dispositivo, idioma, adjuntos, frecuencia de contacto.
    Algunos correos de marketing incluyen píxeles invisibles que informan a la empresa cuando abres el mensaje.
  • Proton Mail y Tutanota: eliminan rastreadores externos en correos entrantes (imágenes remotas desactivadas por defecto).
    Proton y Tutanota no registran IPs de conexión salvo en casos de abuso o por mandato judicial limitado.


Buenas prácticas para cualquier servicio de correo​

  1. Activa la autenticación en dos pasos (2FA) — preferiblemente con app, no SMS.
  2. No uses el mismo correo para todo:
    • Uno para uso personal.
    • Otro para banca / gestiones oficiales.
    • Otro para compras y registros en webs.
  3. Evita reenviar todo tu correo a servicios como Gmail/Outlook si usas un proveedor privado.
  4. Desactiva la carga automática de imágenes externas (tracking pixels).
  5. Usa alias temporales (Proton y Tutanota permiten crear direcciones desechables).
  6. Configura un dominio propio (tu@tudominio.com) con un servicio privado: así puedes cambiar de proveedor sin perder tu identidad digital.
  7. Haz copias de seguridad cifradas de tus correos importantes.
 
Última edición:
  • Me gusta
  • Me encanta
Reacciones: Cantabruca y Trotante24

Hilos similares

jorgesdb
Octubre mes de la Ciberseguridad - Día 5: Haz copias de seguridad periódicas
Respuestas
2
Visitas
268
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 19: Cuidado con lo que compartes con las IA
Respuestas
2
Visitas
94
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 22: Privacidad y seguridad en navegadores web: elige bien tu puerta de entrada a Internet
Respuestas
4
Visitas
61
Edgatk
E
jorgesdb
Octubre mes de la Ciberseguridad - Día 1: Crea y protege tus contraseñas de forma segura
Respuestas
4
Visitas
248
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 11: Bloquea tu ordenador, móvil y tablet
Respuestas
1
Visitas
137
Asenna.
Asenna.
Atrás
Arriba Pie