La pregunta de si el fax es mas seguro que el correo electronico se ha debatido durante decadas. La respuesta no es blanco y negro, y depende en gran medida de la naturaleza de tu trabajo, el tipo de informacion confidencial que intercambias, el nivel de sofisticacion de quienes intentan atacar tu red, y que tan bien has protegido tu sistema.
El debate puede dividirse en dos campos: quienes creen que el fax es menos propenso a ser interceptado por hackers porque envia datos por una linea fisica, versus quienes creen que el hackeo no es un problema con las maquinas de fax ya que no se conectan directamente a redes ni envian sus transmisiones por internet como lo hace el correo electronico. Hay muchas razones por las que cada grupo puede tener o no la razon. Examinemos los argumentos de quienes piensan que el fax es mas seguro que el correo electronico.
Aspectos de seguridad del fax vs correo electronico
Aspectos de seguridad del fax
- Requiere acceso fisico a la linea telefonica para interceptar
- Requiere acceso fisico a la maquina de fax para obtener el mensaje
- Los mensajes pueden llegar a un lugar accesible para otras personas
- Una vez recolectados, los mensajes recibidos no permanecen en un servidor indefinidamente
- El encabezado de fax puede ser falsificado
- Es casi imposible detectar una falsificacion
Aspectos de seguridad del correo electronico
- Requiere habilidades significativas de hacking para interceptar
- Los mensajes llegan a una computadora (generalmente) protegida
- Los mensajes pueden residir en un servidor indefinidamente, esperando ser hackeados
- Susceptible a phishing
- Cuando esta configurado correctamente: no permite falsificar los datos del remitente
- Dificil detectar falsificaciones, pero puede haber indicios
El aspecto fisico
Accesibilidad
La caracteristica principal del fax comparado con el correo electronico es simple: es fisico. Todos los datos enviados por fax usan una linea telefonica, lo que significa que los hackers deben tener acceso a tus lineas telefonicas para interceptar. Necesitan acceso fisico para interceptar informacion enviada por fax. Por otro lado, hackers motivados pueden interceptar correos electronicos que viajan por una conexion de internet sin tener que entrar en contacto directo con tu red o sistema.
Una vez que un hacker tiene acceso fisico, todavia necesita tiempo y experiencia para intervenir lineas telefonicas de manera efectiva. Los hackers mas sofisticados tienen la capacidad de intervenir lineas telefonicas e interceptar datos enviados o recibidos. Hacer una intervencion telefonica requiere un dispositivo especifico y tiempo para configurarlo. Y dado el nivel actual de sofisticacion de los hackers, irrumpir en una linea telefonica para propositos de intercepcion se consideraria hacking avanzado.
Sin embargo, el aspecto fisico abre otros riesgos. Por ejemplo, en algunos negocios la maquina de fax puede estar ubicada en un area publica donde otros empleados tienen acceso. Una tercera persona podria ver o robar un mensaje que llego y no fue recogido a tiempo. Esto es poco probable que ocurra con el correo electronico, donde los mensajes llegan a computadoras tipicamente protegidas con contrasena y/o residen en servidores de correo seguros.
El aspecto del software
Las maquinas de fax no son susceptibles a malware basado en computadoras. Esto significa que son mas seguras desde este vector de ataque, pero todavia hay riesgos que debes mitigar.
Virus
Una maquina de fax es un sistema cerrado basado en hardware. Por lo tanto, no puedes instalar ningun tipo de virus o malware en una maquina de fax analogica. Esto hace que las maquinas de fax tradicionales sean incapaces de transmitir virus por las lineas telefonicas, lo que significa que un remitente tampoco podra transmitir virus al destinatario a traves de una maquina de fax.
Malware
Si bien puede ser posible crear malware que ataque maquinas de fax, y especialmente dispositivos multifuncion de alta gama con capacidad de fax por internet que son efectivamente grandes computadoras, las maquinas de fax tradicionales actualmente no se conocen como un vector de ataque viable. Es mucho mas rentable para los autores de malware atacar computadoras y smartphones que maquinas de fax.
Cifrado
Frecuentemente nos encontramos con la pregunta: «estan cifradas las maquinas de fax?»
Cuando envias un fax en una maquina de fax regular que compraste en tu tienda local de articulos de oficina o en Amazon, el fax transmitido no esta cifrado. Se envia en un formato de transmision digital bien conocido llamado ITU-T fax grupo 3 o 4 (anteriormente CCITT fax grupo 3 o 4) y puede ser interceptado y leido por cualquiera que tenga la capacidad de intervenir tu linea telefonica.
Existen soluciones para cifrar transmisiones de fax, por ejemplo, como las que usan las misiones diplomaticas e instituciones de alta seguridad. Sin embargo, estas requieren equipo dedicado y mutuamente compatible tanto en el extremo emisor como en el receptor. Por lo tanto, no podemos generalizar desde ellas a lo que podria ser un uso tipico del fax.
Es importante notar que cuando los proveedores de servicios de fax en linea afirman ofrecer fax cifrado, como algunos parecen hacer en los resultados de busqueda de Google mostrados abajo, no se refieren a la transmision de fax real. En cambio, podrian estar refiriendose a: su almacenamiento de archivos, acceso a sus sistemas, o la seguridad del envio de mensajes de fax por correo electronico o API antes y despues de su transmision y recepcion como faxes.
El proveedor de servicios de fax que aparece como primer resultado en Google para el termino de busqueda «encrypted fax» confirma esto diciendo:
La seguridad de los mensajes enviados a traves del sistema InterFAX puede mejorarse cifrando tus correos electronicos. Si bien esto NO cifrara la transmision de fax desde nuestros servidores a la maquina de fax en si, SI asegurara el contenido de tu mensaje mientras esta en transito desde tu computadora a nuestros servidores. – upland InterFAX
En terminos practicos, la mayoria de los correos electronicos tampoco estan cifrados, aunque la capacidad de firmar y cifrar correos ha existido por mucho tiempo y esta disponible en la mayoria de los clientes de correo modernos.
Sin embargo, mitigando esta carencia, esta el hecho de que la mayoria de los servidores de correo hoy «hablan» TLS entre ellos, haciendo efectivamente imposible la intercepcion y manipulacion de las transmisiones de correo electronico.
El factor humano
Phishing
Los atacantes prefieren el correo electronico sobre las maquinas de fax ya que estas son menos susceptibles de manera inmediata al phishing. Para los hackers maliciosos, la ventaja del correo electronico sobre los faxes es que pueden lograr su objetivo enganando a un usuario para que abra un archivo adjunto peligroso.
En este sentido, es mas facil para los atacantes usar el correo electronico para infectar usuarios con malware. Sin embargo, a diferencia del correo electronico, las maquinas de fax no tienen un buzon donde puedan recolectar mensajes del mundo exterior. Y aunque se almacenen electronicamente, los faxes entrantes deben ser transferidos manualmente al almacenamiento por alguien que sepa lo que esta haciendo. Puedes considerar esto como una capa adicional de proteccion contra ataques y amenazas.
Spoofing
El spoofing de correo electronico es una tecnica donde los atacantes cambian el campo «de» de un mensaje de correo electronico para que parezca que vino de otra persona. Usualmente, esto se usa para propositos criminales como fraude o phishing. Esto puede mitigarse, pero depende de que la parte suplantada configure correctamente sus servidores de correo (mas especificamente, sus servidores DNS).
De manera similar, el spoofing tambien es posible al enviar faxes. En el contexto del fax, el spoofing puede significar dos cosas:
- Enviar un encabezado de fax (CSID) que pretende mostrar un remitente diferente al real.
- Enviar un fax con un identificador de llamadas falso. Esto requiere acceso mas profundo a la configuracion de telefonia.
Falsificacion de encabezado de fax (CSID)
Un fax puede configurarse para enviar un encabezado a la parte receptora. El encabezado es un texto largo que puede incluir cualquier cosa, pero usualmente muestra la fecha y hora de envio, el numero de fax desde el cual se envio, el nombre del remitente y otra informacion. Asi es como un manual de usuario de Canon lo presenta:
El numero de fax y nombre del remitente, en los cuales el destinatario podria confiar para verificar la veracidad del fax, son bastante simples de cambiar en la maquina de fax emisora a traves de su configuracion regular, haciendo que las confirmaciones de fax no sean confiables para verificacion.
Falsificacion
Falsificar el contenido tanto de correos electronicos como de faxes es bastante simple. Pero mientras los faxes proporcionan relativamente pocas pistas sobre sus remitentes, los correos electronicos proporcionan abundante informacion sobre la ruta que tomaron para llegar. Y aunque no se pueda decir que un correo fue falsificado, frecuentemente la reputacion del remitente puede dar una pista sobre su posibilidad de ser real.
Falsificar un fax es un ejercicio simple en cualquier editor de imagenes. Obtener acceso al membrete de cualquier empresa se hace facilmente a traves de internet y todo lo que queda es llenar los detalles. La confianza de las personas en aceptar documentos enviados por fax por sus firmas es en este sentido bastante ingenua. Una vez hecho esto, es nuevamente bastante facil configurar los ajustes de una maquina de fax para hacer la falsificacion de encabezado apropiada descrita anteriormente. Esto deja al destinatario con poca informacion para guiar su decision sobre si un documento es real o falso, aparte del sentido comun.
En cierto sentido, falsificar un correo electronico es igual de simple. Pero al menos cuando llega un correo electronico, trae una gran cantidad de metadatos que permiten su analisis, como muestra la siguiente imagen.
En conclusion
Como puedes ver, realmente no hay forma de decir si el fax es mas o menos seguro que el correo electronico cuando ambas opciones estan abiertas a ataques. La verdad es que todo depende de la naturaleza especifica de tu trabajo y los riesgos que enfrentas, ya que estos dos metodos de comunicacion no crean una amenaza diferente.