La Guardia Civil ha detenido a 17 personas e investiga a otras 10 por una macroestafa a entidades públicas y privadas de la provincia de Huesca mediante correos electrónicos fraudulentos, mediante el sistema conocido como BEC (Business Email Compromise). La operación, que lleva por nombre Solapado, ha sido llevada por la Unidad Orgánica de Policía Judicial (UOPJ) de la Comandancia en la capital altoaragonesa. En concreto, se les acusa de 31 delitos de estafa, 15 delitos de blanqueo de capitales, 7 delitos de falsificación de documentos y 1 delito de usurpación de estado civil, a diferentes empresas de 16 localidades de la provincia de Huesca

A principios del año 2024, dentro de los planes de prevención y respuesta que lleva a cabo el Instituto Armado, detectaron un aumento de denuncias de estafas tecnológicas con un mismo patrón, mediante el sistema BEC. Se trata de un tipo de ciberataque en el que los delincuentes se hacen pasar por personas de confianza dentro de una organización, generalmente a través de correos electrónicos, para engañar a los empleados de empresas y entidades públicas y así lograr que realicen transferencias de dinero o compartan información confidencial. En estos casos, modificaban facturas para conseguir transferencias de dinero a cuentas corrientes controladas por los estafadores.

Las víctimas de las ciberestafas eran mayoritariamente empresas de distinto rango y varias instituciones públicas, en total unas veinte. Las localidades afectadas son AÍnsa, Alcalá de Gurrea, Alquézar, Altorricón, Barbastro, Benasque, Binéfar, Canfranc Estación, Fiscal, Fraga, Laspaúles, Monzón, Panticosa, Peraltilla, Sabiñánigo y Tamarite de Litera y la cantidad total estafada de más de 1.000.000 €.

Los agentes, tras el análisis técnico de los archivos y documentación aportada en las denuncias, pudieron averiguar el modus operandi seguido por los posibles autores y cómo conseguían engañar a las empresas estafadas, desviando el dinero a una cuenta fraudulenta y posteriormente a otras distintas cuentas bancarias para evitar el seguimiento policial.

Para la comisión de estos ciberdelitos, los estafadores se valían de la técnica EAC (Email Account Compromise), que consiste en comprometer la cuenta de correo electrónico, al poseer las credenciales de acceso y control total del email. Eso suponía una ventaja para el ciberdelincuente, al poder tener el acceso a toda la información que su víctima poseía en su correo electrónico, historial de correos, destinatarios comunes, archivos adjuntos, enviados y recibidos, firma, configuraciones, etc. Así mismo, se aseguraban de mantener el acceso a la cuenta en el tiempo, creando reglas de reenvío de correos o cambiando los permisos, de esta forma, monotorizaban a la víctima y podían realizar una inteligencia certera de su gestión de pagos.

Con este conocimiento y capacidad de acceso, los ciberestafadores enviaban correos convincentes en nombre de las víctimas en el momento más adecuado y así lograr sus objetivos. Así mismo, los agentes pudieron comprobar que algunos de los supuestos autores, utilizaban documentación falsa para la apertura de cuentas bancarias donde se recibía el dinero estafado. De esta forma, los investigadores pudieron realizar una precisa labor de trazabilidad bancaria, lo que permitió el bloqueo y recuperación de unos 437.449 €.

Finalmente, después de un año de investigación, entre los pasados meses de mayo y agosto, los agentes pudieron identificar, localizar y detener a los posibles autores, mediante un operativo coordinado, en las provincias de Alicante, Almería, Barcelona, Córdoba, Gerona, La Rioja, Lérida, Lugo, Madrid, Málaga, Navarra y Pontevedra, así como en los países de Alemania y Portugal, a 27 personas, siendo 17 detenidas y 10 investigadas, de diversas nacionalidades y edades comprendidas entre los 25 y 55 años

El Equipo @ de la UOPJ de la Comandancia de la Guardia Civil de Huesca, instruyó las correspondientes diligencias que fueron entregadas junto con los detenidos, en los diferentes Juzgados de Instrucción de Guardia de Barbastro, Boltaña, Fraga, Huesca, Jaca y Monzón, quedando los detenidos en libertad con cargos, menos tres que ya estaban anteriormente en prisión, debiendo los 10 investigados presentarse a la Autoridad Judicial cuando estime conveniente.

Consejos para prevenir estas estafas

La Guardia Civil ha includo un listado de consejos a las empresas de la provincia de Huesca para prevenir este tipo de fraudes:

Quizá muchos de quienes leen este medio digital recuerden con cierta nostalgia una época sin notificaciones. Sin los grupos de WhatsApp, los zascas de las redes sociales o los titulares clickbait. Inconvenientes que pueden hacernos idealizar esa desconexión. Pero lo cierto es que, en pleno siglo XXI, la vida cotidiana sucede en gran medida dentro de las pantallas: por ahí llegan los avisos médicos, las ayudas públicas, la banca, las buenas noticias de los amigos o las series del momento. Una vida de la que millones de personas se han quedado fuera.

Cerca del 10% de la población española vive completamente al margen de Internet. El 83% son personas mayores. Para muchas de ellas no es una situación elegida, sino impulsada por el miedo a las nuevas tecnologías o la falta de habilidades. Algo que las aboca a más soledad, la sensación de estar desconectados del mundo y una creciente dificultad para acceder a derechos básicos que ahora dependen, cada vez más, de esa conexión.

Son aproximadamente unos 3,5 millones los mayores de 65 años que se encuentran en situación de “exclusión digital completa”, sin ninguna conexión a Internet o uso de servicios digitales en los últimos tres meses o más. “Estamos ante uno de los elementos de exclusión más amplios, profundos, arraigados y capilarizados que existen nuestra sociedad”, avisa un informe de UGT sobre esta problemática que se publica este jueves.

La realidad práctica de estas cifras aflora en los datos de uso de herramientas básicas de la sociedad digital. Hasta cuatro millones de españoles de 65 años o más no tienen WhatsApp ni otras apps de mensajería para comunicarse con su familia ni amistades. Seis millones no usan nunca el correo electrónico, una cifra parecida a la de los que nunca buscan información en Internet sobre productos o servicios, ni consultan medios de comunicación digitales, ni utilizan las apps de banca digital.

Trasladado a la relación con unos servicios públicos en una lenta pero inexorable digitalización, esta situación se traduce en un gran grupo de población con cada vez más dificultades para ejercer derechos básicos. Por ejemplo, solo un 29% de los mayores fija citas médicas a través de medios digitales, menos de la mitad que la media española. “Un trámite que evita desplazamientos innecesarios (como en el caso de personas con problemas de movilidad o residentes en la España rural) no está siendo aprovechado por siete millones de personas mayores”, recoge el informe de UGT, realizado a partir de datos de Eurostat, el INE o el Observatorio Nacional de Tecnología y Sociedad.

En total son más de cinco millones de mayores no usan ninguna facilidad tecnológica relacionada con su salud, ya sea concertar una cita, consultar su historial o descargar su pauta farmacéutica. En el tramo de edad entre los 65 y 74 años, la cifra de ciudadanos que reconocen que no llevan a cabo trámites online porque carecen de los conocimientos necesarios asciende por encima del 51%.

“La gente de mi edad, yo tengo 70 años actualmente, tiene muchas dificultades para llenar formularios, para rellenar todo tipo de requerimientos que se hacen online para la vida cotidiana”, explica Daniel Ubertone, miembro de Cibervoluntarios, una ONG que ofrece formaciones gratuitas en competencias digitales para personas en situación de vulnerabilidad, como los mayores.

“Ir a un cajero automático ya resulta un tema bastante complicado para la gente mayor”, continúa Ubertone, que ahora imparte cursos de habilidades tecnológicas con la ONG para intentar desterrar “un miedo, un terror escénico al tener un teléfono móvil con miles de aplicaciones y posibilidades” que en ocasiones invade a las personas mayores.

Las herramientas digitales también pueden ofrecer espacios de expresión y conexión para las personas mayores. En TikTok, por ejemplo, ha surgido una comunidad de influencers sénior con gran seguimiento: Dolores Moreno, con 4,5 millones de seguidores, protagoniza retos y bailes virales; José Abad reflexiona sobre arte y vida cotidiana ante más de 400.000 personas; y otras 600.000 se han suscrito al canal donde Patricia Cubero comparte consejos de belleza. Rosa Vallejo, una auténtica referente en la plataforma, suma 9,5 millones con sus vídeos de humor y bromas de cámara oculta.

Según datos de la consultora GfK, más del 40% de los españoles mayores de 65 años tienen cuenta en la red social china. El potencial está ahí, pero en muchas ocasiones está desaprovechado y hasta 7,7 millones de mayores no participan, en ninguna ocasión, en redes sociales. “Una opción menos para paliar posibles aislamientos sociales y soledad vivencial”, advierte el informe.

TikTok fue una de esas cosas que llegaron con la pandemia y lo hicieron para quedarse. Como en muchos sectores sociales y laborales, la digitalización de las personas mayores avanzó mucho en este periodo. De los 4,9 millones de personas que se encontraban en situación de exclusión tecnológica plena en 2019 se ha pasado a los 3,5 millones actuales. El ritmo, sin embargo, se ha estancado: de una reducción superior al 7% interanual entre 2019 y 2023, se pasó a solo un 1,5% entre 2023 y 2024.

España está lejos de los países más avanzados de Europa en este aspecto. Según datos de Eurostat, el 17,4% de los españoles entre 65 y 74 años no se han conectado a Internet en los últimos tres meses. En Dinamarca, Países Bajos o Noruega esa cifra no llega al 3,5%. En Irlanda, Suecia, Luxemburgo o Finlandia no supera el 10%.

La digitalización forzada por el coronavirus ayudó, pero no supuso el punto final de esta brecha digital. “Aunque existe una evolución en el perfil de los mayores, ya que los mismos tienen algo más de experiencia digital, la brecha sigue siendo enorme. Además, la percepción negativa de la relación de los mayores con la tecnología no cambia a lo largo del tiempo”, explica Antonio Pulido, responsable de incidencia y cultura de Cibervoluntarios.

Falta de datos para pasar a la acción

elDiario.es ha preguntado al Gobierno por esta situación. Desde el Ministerio para la Transformación Digital enfatizan que el Plan Nacional de Competencias Digitales, ha formado ya a unas 344.855 en “competencias digitales transversales”. Sin embargo, en este número se incluyen varios grupos de población, como “146.419 ciudadanos de colectivos desfavorecidos, 57.846 niños y niñas en situación de vulnerabilidad y exclusión y 95.795 formados en zonas rurales”. Es decir, no está específicamente dirigido a los mayores.

En este sentido, el informe de UGT critica que el INE dejara de preguntar, a partir de 2021, por qué no hay conexión a Internet en los hogares españoles que no tienen contratado este servicio. Entonces, el 77% aludía a una falta de interés, pero hasta un 40% refería también la falta de conocimientos para aprovecharlo. Las cuestiones económicas surgían en tercer lugar. “Hoy, no sabemos si estas razones siguen siendo las mismas, si han variado su peso, si han surgido alguna nueva”, expone UGT.

“Tenemos que dedicar recursos a averiguar el porqué, para así construir planes de acción verdaderamente efectivos. Es lamentable que en la era de los datos no dispongamos de aquellos que nos ayudarían a construir una sociedad basada en la igualdad”, argumenta José Varela, responsable de Digitalización del sindicato y autor del informe.

Desde Cibervoluntarios señalan dos situaciones diferentes a partir de su experiencia con los mayores en exclusión digital. “Las personas hasta los 74 años suelen tener más exposición previa a la tecnología, por lo que sus barreras son más sobre el miedo a equivocarse, inseguridad con los trámites o dudas sobre la seguridad online. En cambio, en personas mayores de 75 años, el freno es muchas veces debido a una falta de contacto previo, competencias básicas o accesibilidad”, indican.

“En zonas rurales, la brecha digital se intensifica con carácter general y en los mayores en particular. Precisamente es ahí donde más se necesita la tecnología para acceder a servicios públicos, servicios financieros, culturales o de ocio, y es también ahí donde más barreras existen”, continúa Antonio Pulido. Tanto UGT como Cibervoluntarios señalan los planes de formación como la herramienta clave para erradicar la exclusión tecnológica de los mayores.

Desde Transformación Digital recuerdan que donde sí existen planes específicos es para “ayudar a las personas mayores en sus relaciones con la Administración digital”. “Por ejemplo, el 060, el número de teléfono central de atención al ciudadano de la Administración General del Estado, que ofrece información y ayuda sobre trámites y servicios públicos, está puliendo una herramienta para poder detectar las llamadas que realicen las personas mayores y poder ser atendidas por un operador”, desglosan.

También indican que el Punto de Acceso General electrónico, que da acceso a información de diferentes organismos públicos, se ha adaptado “al formato de lectura fácil, que facilita la comprensión a personas con déficit cognitivo y personas mayores”. A su vez, están en contacto con la Plataforma de Mayores y Pensionistas para identificar las “cargas administrativas que padece dicho colectivo, y su consiguiente reducción” en planes bienales.

Incluir a los mayores

El informe de UGT también señala la escasa atención que recibe este problema respecto a otros relacionados con la digitalización y las nuevas tecnologías, pese a lo evidente que resulta. Cuestiones como los centros de datos o las inversiones en inteligencia artificial acaparan foco mediático y medidas políticas, aunque “es posible que ninguno de ellos afecten a tal proporción y volumen de personas, deviniendo en un impacto social –y económico– muy superior a cualquier otra carencia tecnológica que podamos plantearnos”.

Desde Cibervoluntarios recuerdan que se trata de incluir su voz en los debates, incluidos aquellos sobre digitalización. “Es clave que no los excluyamos de los debates públicos sobre tecnología. Pensar, por ejemplo, que la IA no va con ellos, es un error, ya que les impactará tanto como al resto. Tienen derecho a conocer, opinar y decidir sobre sus derechos digitales. Son parte activa de la ciudadanía digital y no podemos dejarlos fuera”.

“La verdadera transformación pasa por dejar de ver a los mayores como 'usuarios pasivos' de la tecnología y empezar a verles como lo que son: ciudadanos plenos, creativos, con motivaciones y con mucho que aportar. En definitiva, tenemos que acabar con el edadismo digital”, concluyen desde la ONG. Mientras tanto, más de tres millones y medio de personas mayores siguen quedando fuera de un mundo virtual que no deja de avanzar. Un mundo que promete simplificar la vida real, pero que, para ellos, sigue siendo una puerta cerrada.

La Dirección General de Tráfico (DGT) tiene varias vías para notificar una multa, pero nunca lo hará a través del envío de un correo electrónico. Sin embargo, cada cierto tiempo, esos mensajes se suelen enviar, pero hay que saber que se trata de un tipo de intento de estafa conocido como phising, con el objetivo de robar los datos privados de esa persona o realizarle un cargo económico. 

Tráfico recuerda que nunca comunica sus multas por correo electrónico, sino siempre lo hace a través de cartas certificadas, con posterior envío al Tablón Edictal (TEU) o Tablón Edictal de Sanciones de Tráfico (TESTRA) si no han podido localizar al conductor en su domicilio.

Esa norma solo tiene una excepción, que previamente estemos inscritos en la Dirección Electrónica Vial (DEV), un buzón electrónico para recibir las comunicaciones y notificaciones de forma telemática y que tiene los mismos efectos jurídicos que una notificación en papel por carta certificada. Para hacer uso del mismo, hay que registrarse previamente. 

En caso de estar registrado en la DEV, el conductor sí podría recibir el aviso de que existe una notificación por SMS o a través del correo electrónico, explica la DGT. Para acceder a la notificación de la multa, siempre pedirá la identificación con DNI electrónico o Certificado Digital. 

La DGT nunca notifica multas por correo electrónico

Cada cierto tiempo, tanto la DGT como el Instituto Nacional de Ciberseguridad (Incibe) detectan campañas de fraude a través del correo electrónico. Por norma general, en estos mensajes se indica al usuario que tiene una multa pendiente y que puede acceder a la notificación desde el enlace que figura en el correo. Este enlace dirige al usuario a una web externa, desde donde se descarga un archivo comprimido en formato zip que simula ser la multa y que contiene malware.

Los ciberdelincuentes juegan con varias armas muy potentes: el interés que siempre suscita una multa, la multitud de tareas para las que a diario se usa el correo electrónico y las prisas que siempre tiene el usuario. 

Ante estas situaciones, el Incibe pide extremar las medidas de precaución y ofrece una serie de pautas que aplicar si recibimos un correo electrónico cuyo remitente parece ser la DGT: 

Un nuevo fraude cibernético que utiliza el nombre de la plataforma de comercio electrónico Temu para engañar a los usuarios ha vuelto a desatar las alarmas. Según la Agencia Catalana de Ciberseguridad, los ciberdelincuentes han creado un correo electrónico fraudulento que promete regalar una “caja misteriosa” a quienes completen una encuesta online. Sin embargo, este supuesto obsequio es solo una táctica para obtener datos personales y bancarios de las víctimas.

El 'modus operandi' es similar al de otros fraudes de phishing, en los que los delincuentes suplantan la identidad de marcas conocidas. En este caso, el correo parece provenir legítimamente de Temu, utilizando logotipos y un tono persuasivo para generar confianza en los destinatarios. Además, se incluye un mensaje que crea urgencia, indicando que la oferta solo estará disponible por un tiempo limitado, lo que impulsa a las personas a actuar rápidamente sin verificar la autenticidad del mensaje.

Una vez que el usuario completa la encuesta, los estafadores recogen sus datos personales y bancarios, que luego pueden ser utilizados para realizar compras fraudulentas o para otros fines ilícitos. Tras completar el cuestionario, el correo indica que la “recompensa” está lista para ser retirada, engañando al receptor y dándole la falsa esperanza de que obtendrá el supuesto premio. Sin embargo, en realidad, lo que está haciendo es entregar información valiosa a los ciberdelincuentes.

Este tipo de estafas ha crecido considerablemente en los últimos años, aprovechando la popularidad de plataformas de comercio electrónico como Temu. Aunque estos fraudes pueden parecer inofensivos, pueden tener consecuencias graves. Los ciberdelincuentes no solo roban dinero, sino que también pueden recurrir al robo de identidad, utilizando la información personal para realizar compras ilegales o abrir cuentas en nombre de las víctimas.

Precaución ante cualquier mensaje sospechoso

Por su parte, Temu ha desmentido que esté detrás de estas promociones fraudulentas y ha instado a sus usuarios a estar alerta ante cualquier mensaje sospechoso. La empresa ha reiterado que nunca solicitaría información personal o bancaria a través de correos electrónicos o encuestas. Ante esta situación, las autoridades han recomendado que los consumidores no hagan clic en enlaces sospechosos ni proporcionen datos sensibles a través de mensajes no solicitados.

Para prevenir este tipo de fraudes, es fundamental que los usuarios adopten ciertas medidas de precaución. En primer lugar, es esencial verificar siempre la dirección de correo electrónico del remitente, ya que los ciberdelincuentes a menudo utilizan direcciones que parecen legítimas, pero contienen ligeras variaciones.

Los ciberdelincuentes se aprovechan de la falta de conocimientos sobre ciberseguridad de muchos usuarios para engañarlos. De ahí la importancia de que los consumidores estén bien informados sobre las señales de alerta que pueden indicar un intento de fraude, como errores en la redacción del mensaje o enlaces sospechosos.

Finalmente, si alguien cae en la trampa y comparte sus datos personales o bancarios, es importante actuar rápidamente. Las autoridades recomiendan denunciar el incidente a las fuerzas de seguridad, ya que esto ayuda a detener a los responsables y proteger a otros usuarios de sufrir el mismo destino. Además, se sugiere cambiar de inmediato las contraseñas de las cuentas comprometidas y monitorear los estados bancarios en busca de movimientos sospechosos.

Las empresas pueden vigilar el correo corporativo y los ordenadores de trabajo de sus empleados, pero no de cualquier manera. Desde hace años la ley y los tribunales han acotado esta capacidad de los empresarios, pero poniendo límites, como por ejemplo que hayan hecho saber a los trabajadores que sus emails pueden ser intervenidos en determinadas circunstancias. Ahora el Tribunal Supremo ha insistido en otra de esas limitaciones: la empresa no puede introducir nuevas restricciones o nuevas posibilidades de espiar a sus empleados sin pasar antes por el filtro de la representación de los trabajadores.

La Sala de lo Social ha estudiado el caso de una empresa española de tasación que desde hacía años, en sus códigos éticos y de conducta, advertía a sus trabajadores sobre el uso del correo corporativo y los ordenadores de empresa. Establecían un “uso personal limitado” de internet y los dispositivos, la posibilidad de ser monitorizados por la empresa y advertía a los empleados de que no podían tener “ninguna expectativa de privacidad” a ese respecto.

Según denunció el sindicato CGT, fue en 2022 cuando la empresa hizo llegar una circular en papel a sus 44 trabajadores repartidos entre Madrid y Barcelona. Una circular con nuevas medidas, restricciones y advertencias que no habían sido comunicadas a la representación legal de la plantilla: los ordenadores y el correo podían ser “analizados, examinados, formateados y reseteados”, afirmaba la carta, “en cualquier momento”.

En la práctica eso también habilitaba a la empresa a obligar al trabajador a tener que conectarse en remoto para ser monitorizado en directo por un superior o jefe de departamento. El sindicato CGT llevó el caso hasta la Audiencia Nacional al entender que la empresa había modificado las condiciones de vigilancia hasta límites abusivos y, además, sin haber negociado previamente con la representación legal de los trabajadores tal y como obliga la ley.

La Audiencia Nacional dio la razón al sindicato en julio de 2022 –momento en que la empresa, según fuentes del caso, dejó de aplicar las medidas– y entendió que la empresa había actuado “de forma unilateral”. La tasadora recurrió y ahora ha sido la Sala de lo Social del Tribunal Supremo la que ha confirmado la nulidad de esta actuación. Esa circular en papel, dicen los jueces, no era un “mero recordatorio” como alegaba la empresa: era una actualización de los criterios de privacidad y resulta “palmario” que no era, simplemente, un recordatorio de algo que ya estaba impuesto.

El Supremo recuerda con esta sentencia que este tipo de medidas no tienen por qué ser ilegales, pero sí es obligatorio que exista un proceso previo de negociación con la representación de los trabajadores, algo que en este caso no sucedió. Pero también dejan caer que esa intervención tan extrema de las comunicaciones podría “colisionar gravemente” con la “intimidad y dignidad” de los trabajadores de esta empresa de tasación.

La firmeza del caso tumba la circular que pasó la empresa en 2022 y arrastra también a la nulidad todas las restricciones que imponía, por lo que el Supremo no entra a valorar si monitorizar de forma constante en remoto el ordenador de un empleado es legal o no, aunque desliza su opinión. El contenido de esa comunicación tiene un “discutible contenido”, según la Sala de lo Social del alto tribunal.

La capacidad para mirar el correo

La ley permite que una empresa, en determinados supuestos, mire el correo corporativo de sus empleados o los medios que utilizan para trabajar, como los ordenadores que se les da para hacer su trabajo. Recientemente fue el Tribunal Europeo de Derechos Humanos (TEDH) de Estrasburgo el que, resolviendo un caso procedente de España, avaló esta capacidad de las empresas pero recordando que tiene unos límites muy definidos.

Lo dijo en el caso de antiguos militantes y dirigentes de UPyD que denunciaron por lo penal al partido por intervenir sus correos electrónicos cuando, en pleno proceso de descomposición del partido. La sentencia reconoció que mirar el correo corporativo de alguien, especialmente de un militante de un partido político, es una intromisión grave en la intimidad del afectado, pero también que la ley contempla supuestos para que se pueda hacer de forma no prospectiva y justificada.

Esa resolución recordó que en el caso de una empresa, intervenir el correo corporativo de un empleado es legal siempre y cuando se den algunos requisitos: que sea una posibilidad que venga en los estatutos de la empresa o en el código de conducta, que el trabajador sepa que eso puede pasar, y que se haga de manera proporcional. Buscando, por ejemplo, emails sobre asuntos concretos y con palabras clave concretas, y no de forma prospectiva. También si existen sospechas de alguna irregularidad, y no a capricho del empresario.

Quienes tenemos cierta edad recordamos que hace años, cuando entraba un nuevo mensaje de correo electrónico en el ordenador, sonaba un alegre “ping” que nos llenaba de ilusión.

Sin embargo, hoy en día, si aprecias tu cordura, habrás desactivado todas las notificaciones de correo electrónico del trabajo, y especialmente el “ping”. Lo más probable es que cada día tu buzón reciba una avalancha de mensajes, la mayoría de ellos inútiles.

¿No sería estupendo tener un asistente que seleccionara solo aquellos que necesitas leer? Esa es precisamente una de las promesas de la inteligencia artificial, pero viene con riesgos aparejados.

El correo electrónico puede ser una carga enorme para los trabajadores de las empresas, y provocar una pérdida tangible de productividad y beneficios. Un reciente estudio comprobó que, en Estados Unidos, los empleados con funciones administrativas o directivas dedicaban más de 3 horas al día solo a procesar el correo electrónico relacionado con el trabajo.

El correo electrónico representa una interrupción constante, lo que lleva a un flujo de trabajo desestructurado que puede ir en detrimento de la productividad. Tanto es así que un analista de Harvard proponía como solución eliminarlo por completo, y el autor Cal Newport, especialista en productividad, tiene un libro titulado Un mundo sin e-mail (Ed. Reverte) sobre esta misma idea.

Por si fuera poco, las interrupciones del correo electrónico pueden agotar los recursos cognitivos y desencadenar una respuesta emocional negativa, lo que puede repercutir en la tensión laboral y el rendimiento. 

El coste económico para las empresas en pérdida de productividad debido al tiempo dedicado a procesar mensajes de correo electrónico innecesarios se mide en miles de millones.

En 2014 un pediatra llamado Ian Paul calculó que los médicos de su hospital recibían, de media, 2.035 e-mails masivos al día y que si empleaban 30 segundos para leer cada uno el coste era de miles de dólares por doctor al cabo de la jornada, algo que denominó metástasis del e-mail. 

Asistentes para el buzón descontrolado

Una posible solución a este desastre es emplear el e-mail como un sistema de comunicación asíncrono, es decir, considerando que los mensajes no deben ser respondidos inmediatamente.

Una estrategia es procesar el correo electrónico en lotes (batching). Igual que algunas personas cocinan el fin de semana para no tener que cocinar todos los días, se ha comprobado que atender el correo electrónico a intervalos fijos en el día, por ejemplo, a una hora concreta por la mañana y de nuevo por la tarde, reduce la ansiedad y aumenta la productividad. 

Sin embargo, aunque un empleado procese sus mensajes de correo en lotes, sin interrupciones, aún tendrá que hacer este trabajo que le puede llevar horas. Aquí es donde llega la inteligencia artificial al rescate. 

Los sistemas de IA para el correo electrónico empezaron siendo asistentes de escritura basados en el modelo de lenguaje GPT. Estos asistentes inteligentes de correo electrónico utilizan algoritmos de procesamiento de lenguaje natural (NLP) y aprendizaje automático (ML) para comprender el contexto y la intención de un mensaje y elaborar una respuesta, corrigiendo sobre la marcha la ortografía y la gramática, algo que permite ahorrar mucho tiempo. 

Por ejemplo, Missive es una aplicación para gestionar no solo e-mail, sino también chats en diferentes canales dentro de un equipo, filtrar y escribir respuestas a los mensajes.

Flowrite, por su parte, es una aplicación que se integra con el navegador Chrome que utiliza NLP y ML para comprender el contexto y la intención de un correos electrónicos y usar plantillas predefinidas para crear automáticamente correos de ventas, atención al cliente e incluso recursos humanos.

Estas aplicaciones de momento funcionan con una suscripción mensual y solo en inglés, pero es de esperar que estén disponibles muy pronto en otros idiomas. Al fin y al cabo, las inteligencias artificiales saben traducir muy bien.

Pero más interesantes son las aplicaciones capaces de aprender de nuestros hábitos de correo electrónico para determinar qué mensajes son importantes y cuáles no. Incluso pueden sugerir respuestas automáticas, organizar nuestros mensajes en carpetas y recordarnos los correos que necesitamos responder, como haría un asistente humano.

Una de estas herramientas es Sanebox, un juego de palabras con “sane” (cuerdo) e inbox (buzón de entrada). Se trata de una extensión de Gmail (de pago, pero con una versión de prueba) que aprende qué mensajes son irrelevantes, como los boletines periódicos que envía cada programa, servicio y aplicación que instalamos, y los envía a un buzón llamado “agujero negro”.

También clasifica los cientos de notificaciones en un buzón llamado “SaneNews” y también crea un buzón llamado “later” (más tarde) en el que clasifica automáticamente los mensajes que no requieren atención inmediata. 

Otro parecido es Shortwave, creado por ingenieros de Google, que se integra con nuestro buzón para clasificar automáticamente nuestros mensajes en boletines (newsletters), finanzas, compras, promociones, redes sociales, viajes, etc.

Todo ello de forma automática. Estos sistemas necesitan supervisión del usuario los primeros días, pero después aprenden y aciertan mucho más con las carpetas a donde envían los mensajes, de modo parecido a los filtros de spam, pero mucho más sofisticados.  

El problema de la seguridad de los gestores de correo

El correo electrónico es un medio intrínsecamente inseguro. Por lo general, los clientes de correo electrónico no ofrecen la posibilidad de automatizar protocolos de seguridad obligatorios, como el cifrado, la VPN y los dispositivos aceptados, y cuando las empresas implantan estos sistemas, suponen una carga adicional de trabajo que resulta muy incómoda y afecta a la productividad.

En muchas empresas, el correo electrónico se emplea para enviar documentos de trabajo, como hojas Excel con datos contables o presentaciones estratégicas, e incluso comunicaciones altamente confidenciales.

En pocas ocasiones estos documentos están protegidos por contraseñas. En caso de hackeo del correo, toda esta información sensible podría sustraerse, incluyendo datos de los clientes. 

Los gestores de correo con inteligencia artificial suponen un riesgo añadido. Lo primero que hacen estas aplicaciones es solicitar permisos de acceso a nuestras cuentas de correo, lo que incluye la capacidad de leer, modificar, borrar y enviar mensajes. 

Los asistentes de inteligencia artificial tienen que leer e interpretar el contenido de los mensajes para poder hacer su trabajo. Es fácil para un atacante ocultar un mensaje malicioso en un mensaje de correo electrónico, en el que incluye instrucciones.

Las instrucciones no son para nosotros, sino para el asistente virtual y se puede ocultar. Por ejemplo, escribiéndolo en texto en color blanco que nosotros no vemos, pero el asistente sí puede leer.

En el mensaje, el atacante pide a la inteligencia artificial que le envíe la lista de contactos de la víctima o que envíe el mensaje envenenado a todos ellos. Si además el usuario tiene en su correo archivos sensibles como adjuntos, que la inteligencia artificial puede buscar y reconocer, la situación puede ser desastrosa.

A pesar de estos riesgos, el beneficio potencial de los asistentes de correo con inteligencia artificial es enorme y su ascenso, inevitable. Los seres humanos estamos sometidos a un volumen de información diaria muy superior al que podemos manejar y, en poco tiempo, no será posible trabajar sin la ayuda de estos 'secretarios' cibernéticos.

  * Darío Pescador es editor y director de la revista Quo 

“Hola, estoy fuera de la oficina hasta el día 3 de mayo; si tienes algún mensaje urgente, puedes llamarme al teléfono…”: un mensaje así, incluido en la respuesta automática de el servicio de correo electrónico Gmail puede sernos muy útil para no perder un recado importante y a la vez no tener que estar pendiente del correo cuando estamos de vacaciones.

A continuación, te explicamos cómo se configura esta respuesta en la página web de Gmail, para que puedas hacerlo siempre que desees de un modo rápido y sencillo.

*Este videoconsejo es fruto de la colaboración entre la Fundación Cibervoluntarios.org y eldiario.es con el ánimo de reducir la brecha digital en la sociedad española con ejemplos concretos y prácticos.

Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines 

Los servicios públicos españoles han recibido en los últimos meses una severa oleada de ciberataques. Uno de los motivos es que hay muchas puertas abiertas: solo un 3% de las direcciones de email que utilizan los organismos públicos españoles está protegido ante la posibilidad de que un ciberdelincuente se haga pasar por el funcionario o trabajador público real que lo utiliza. Esto provoca “que cualquiera pueda enviarnos un email haciéndose pasar por nombre@lawebinstitucional.com sin que podamos detectarlo”, explican desde la comunidad activista PucelaBits.

Este grupo hacktivista mantiene el Observatorio de Seguridad web, a través del que ha analizado la ciberseguridad de algunas herramientas digitales de la administración española. En un estudio anterior detectaron que el solo el 1% de las páginas de la administración pública son completamente seguras para el usuario –hoy el porcentaje ha mejorado al 3%–. El análisis de la protección de los sistemas de correo electrónico, publicado este jueves, no ha arrojado resultados mejores: de 772 emails públicos comprobados, solo 25 cuentan con medidas de seguridad que impiden la suplantación de identidad.

Sistemas de correo tan críticos como el de la Policía (nombre@policia.es), Hacienda (nombre@agenciatributaria.es), la Guardia Civil (nombre@guardiacivil.es) o los que utilizan varios organismos judiciales (nombre@poderjudicial.es) no cuentan con la máxima protección informática frente al robo de identidad. El estudio de PucelaBits lo ha medido analizando si cuentan con dos protocolos de ciberseguridad utilizados para impedirlo, el Convenio de Remitentes (SPF, por sus siglas en inglés) y la Autenticación de Mensajes Basada en Dominios, Informes y Conformidad (DMARC). En la lista de 747 emails vulnerables también está la práctica totalidad los que utilizan los entes autonómicos o locales, con las excepciones de @oviedo.es o @lagomera.es.

La desprotección de estos emails públicos ante los intentos de hacerse pasar por los funcionarios que los manejan es un problema que repercute en toda la sociedad. Por una parte, hace mucho más sencillo que los ciudadanos caigan en estafas de phishing, en lsa que los ciberdelincuentes utilizan la identidad de una administración como gancho para robar datos personales o bancarios o instalar código malicioso en el dispositivo de la víctima. Un email fraudulento desde un correo oficial facilita que la persona receptora no recele de sus intenciones y envíe la información requerida, descargue archivos perjudiciales o pinche en un link controlado por los atacantes.

“Los ciudadanos pueden ser engañados si les llega un correo de nombre@policia.es, nombre@agenciatributaria.es o incluso de su sistema de salud regional. Las posibilidades de engaños, estafas y demás son infinitas”, explica a elDiario.es Rubén Martín, portavoz de PucelaBits. Este tipo de ciberataques son habituales, e instituciones como Correos, la Agencia Tributaria o el Ministerio de Asuntos Económicos y Transformación digital son algunos de los organismos usados como gancho de forma recurrente, tal y como documenta el Instituto Nacional de Ciberseguridad en su Oficina de Seguridad del Internauta.

Ciberataques que entran por correo

Pero la amenaza de picar en un correo público falsificado no solo afecta a los ciudadanos. También puede tener consecuencias catastróficas para la Administración, ya que el engaño puede ejercerse hacia dentro, contra los propios funcionarios y trabajadores públicos. “Es extremadamente grave que cualquier funcionario pueda recibir un correo que parece venir de un superior, un compañero o el mismo departamento de informática, pidiéndole urgentemente que instale algo o visite una web o mande un determinado dato”, denuncia Martín.

Es extremadamente grave que cualquier funcionario pueda recibir un correo falso que parece venir de un superior, un compañero o el departamento de informática

Entre los correos públicos que no cuentan con los dos protocolos de autenticación de la identidad básicos se encuentra por ejemplo el del equipo de Presidencia del Gobierno, @lamoncloa.gob.es.

Dos de los ciberataques que han resultado más graves de entre los que se han producido este 2021 afectaron al Servicio Público de Empleo Estatal (SEPE) y al propio Ministerio de Trabajo. Ambos organismos pasaron semanas paralizados por sendas infecciones de ransomware, un método de ataque que cifra los archivos de la víctima, lo que impide el uso de los dispositivos a no ser que se pague un rescate para liberarlos. En ambos casos los investigadores han revelado que este contagio llegó a través del correo electrónico.

“A veces pensamos que las técnicas son super elaboradas y es tan sencillo como suplantación de identidad e ingeniería social”, lamenta Martín en referencia a estos ciberataques.

La digitalización del día a día hace muchas facetas de nuestra vida más sencillas y cómodas. Pero, al mismo tiempo, su uso diario debe llevar consigo algunas precauciones. En los últimos años, las estafas digitales han proliferado. El phishing (del verbo ‘pescar’ en inglés) es una de las más habituales y, sobre todo, más afectivas, ya que el usuario cree que no está siendo estafado.

¿Qué es exactamente el phishing?

El phishing puede darse tanto en correos electrónicos como en SMS, que son los medios más habituales, pero también pueden ser llamadas telefónicas. En cualquier caso, la persona que está tras el mensaje estará tratando de imitar a una empresa real.

Normalmente, estos mensajes apelan a un error o fallo que requiere de una solución urgente. De esta manera, piden al usuario contraseñas, números de cuenta, que se descargue archivos… El email, SMS o llamada adopta las maneras, formas y logos de las empresas reales, además de que pueden crear URL falsas que imiten a las oficiales con un rango de parecido muy alto. Pero entonces, ¿cómo evitamos ser víctimas de phishing?

1. Nunca, nunca facilitar datos personales o bancarios

Excepto que seas tú mismo quien empiece la comunicación o sea a través de la app oficial, nunca hay que dar los datos personales o de la cuenta de banco.

En la mayoría de empresas, no se te piden datos personales directamente en el mensaje, sino que te invitan a iniciar sesión. Por lo tanto, hay que sospechar de cualquier email que pida contraseñas u otra información.

2. Ante la duda, llama

Si hay alguna duda de la veracidad y seguridad del email, llamada o SMS, hay que llamar a la entidad desde el número que tengamos de contacto.

En muchas ocasiones, las propias empresas te podrán decir si se trata de una estafa o no. Además, esto ayudará a dar parte.

3. No abrir ningún enlace

Si recibes un email o SMS de un remitente desconocido hasta el momento, o asegurando que hay que solucionar un servicio del que no dispones, hay que evitar pinchar en los enlaces.

Estos pueden llevar a sitios web fraudulentos o a descargas de malware. Acuérdate, además, de tener siempre activado el antivirus e incluso utilizar navegadores más seguros que Chrome.

4. Fíjate bien en el texto y direcciones

Es habitual que este tipo de estafas tengan erratas. Los errores pueden ser tanto ortográficos -escribir sin ‘h’ el mensaje de saludo- hasta gramaticales -un error de concordancia en el verbo-. Si encuentras fallos de este tipo, entonces elimina el email.

Además, para imitar a las empresas reales, suelen utilizar trucos similares al lenguaje leet (sustituir las vocales por números). De esta manera, crean dominios y URL reales que, si no te fijas bien, pueden parecer reales.

Un ejemplo muy claro es el de utilizar la ‘L’ minúscula (‘l’) como una ‘i’ mayúscula o el número ‘0’ como una ‘o’ mayúscula. Por lo tanto, revisa tanto el email del remitente como los enlaces para encontrar este tipo de trucos.

5. No usa protocolo seguro

Otra prueba de que el mensaje pueda tener fines fraudulentos es que las URL que adjunten no usen protocolo seguro: https://… 

Este prefijo en los enlaces indica que el sitio web encripta la información personal que en él se aloje.

6. Cuidado con los archivos adjuntos

Si recibimos un mensaje en el que se adjunta un documento que, por casualidad, estabas esperando, tendemos a descargarlo sin pensar. Esto también lo aprovechan algunas campañas de phishing.

Por eso es recomendable revisar con mucho cuidado aquellos archivos adjuntos que nos envíen. En primer lugar, hay que asegurarse que el formato no sea un ejecutable -el más común es “.exe”, pero hay muchos más-, ya que estos son los que pueden contener malware.

En segundo lugar, siempre puedes abrirlo a través de Google Drive. Esto muestra el archivo como un HTML, de esta manera puedes comprobar su contenido.

7. Herramientas

Hay distintas herramientas para evitar este tipo de fraudes y que serán útiles cuando se quiera comprobar la veracidad de un email:

Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines

El correo electrónico se ha convertido, además –o a pesar– de las redes sociales, en la plataforma más utilizada para comunicarse. Ya sea por trabajo, ocio, familia… todos los usuarios lo utilizamos prácticamente a diario.

Gmail es la plataforma de este tipo más extendida en el mundo. La última vez que Google dio datos sobre su correo electrónico, en octubre de 2018, confirmó que Gmail había superado los 1.500 millones de usuarios.

Por lo que seguramente muchos de vosotros también contaréis con una cuenta en esta plataforma. Por eso, recopilamos algunos consejos para sacarle el máximo partido a Gmail.

1. Aumentar el tiempo de eliminar el envío

Una de las mejores características que tiene Gmail es la de poder eliminar un correo enviado pocos segundos después. Esto permite que, si por cualquier motivo, el usuario se da cuenta de un error o, simplemente, que no era momento de enviarlo, puede redimirse.

De manera predefinida, este tiempo es de 5 segundos después de enviarlo. Pero desde el menú de Configuración –un engranaje situado en la esquina derecha superior de la pantalla– puede ampliarse ese tiempo a 10, 20 o 30 segundos.

2. Modificar la bandeja de entrada

De serie, todas las cuentas de Gmail cuentan con tres bandejas de entrada: Principal, Social y Promociones. Pero estas no son fijas.

De nuevo, desde el menú de Configuración se puede elegir el tipo de bandeja de entrada. En ella, dándole al botón “Personalizar”, se pueden añadir y quitar apartados.

3. Crear etiquetas

Otra manera de organizar los emails que recibes es crear etiquetas. Se trata de un sistema de carpetas para clasificar los correos electrónicos, algo muy útil, sobre todo, si se reciben muchos por día.

De nuevo, desde Configuración y Ajustes, se pueden crear diferentes etiquetas y subetiquetas. De esta manera, por ejemplo, se puede crear una que sea “Trabajo” y dentro de esta “Proyectos”, “Pendientes de responder”, etc.

4. Destacar si has recibido un mensaje solo tú

Aunque parezca un detalle nimio, a veces puede ser útil saber qué correos está recibiendo uno mismo o si se trata de alguna cadena. Esto se indica a través de una o dos flechas: una flecha (>) significa que el email es solo para una persona; dos flechas (>>) que ha sido enviado a un grupo de usuarios.

Esto se configura desde el menú de Ajustes en “Indicadores personales”.

5. Respuesta automática

¿Y si te vas de vacaciones o has tenido una urgencia? Gmail también tiene la opción de crear una respuesta automática para que, cuando recibas un email, se envíe automáticamente un mensaje predeterminado para avisar de tu ausencia.

Desde Configuración y General, se puede activar la Respuesta automática (recibe este nombre). Dentro de ese apartado, Gmail permite establecer un periodo concreto o simplemente activarlo sin una fecha fin establecida.

Una vez activado, se podrá personalizar tanto el Asunto del email que reciba el remitente como el cuerpo del mensaje.

6. Posponer correos

A veces se reciben correos importantes o interesantes en un momento de ocio o cuando, simplemente, no puede ponerse uno a responder. Por eso hay una opción para “posponer” este tipo de correos.

Gmail permite auto–reenviarte a la bandeja de entrada. En la versión de escritorio, esta opción se encuentra en el lateral derecho del email; mientras que en la versión móvil se accede al entrar en el mensaje y dándole al botón de los tres puntos.

Esta opción permite al usuario establecer una fecha concreta o momento determinado para recibir de nuevo ese email y, así, poderlo atender como es debido más tarde.

7. Usar la versión para mala internet

Si por cualquier motivo tienes un internet lento o quieres consumir mucho menos, puedes activar la versión HTML. Consume mucha menos red y va más rápido.

8. Dar acceso a otra persona

Por el motivo que sea, un gran periodo durante el que no puedas atender el correo o si es de empresa, Gmail te permite que otra persona pueda acceder a la cuenta. Además, sin necesidad de darle la contraseña.

Desde Configuración y Cuentas e Importación, puedes concederle acceso a otra cuenta. Tan solo tendrás que indicar una cuenta de correo electrónico que recibirá los emails.

Gmail avisa de que esta persona solo podrá “leer, eliminar y enviar correos” en el nombre de la cuenta principal, pero que no podrá configurar nada de ella.

9. Descargarte un .zip con tus datos

Si vas a cambiar de email, vas a dejar de utilizar una cuenta o, simplemente, te interesa guardar los mensajes enviados, Google Takeout puede ayudarte.

Se trata de un servicio de Google que permite descargarte en un archivo comprimido (.zip) todo tu historial de los servicios de la empresa. Ubicaciones, búsquedas, contactos, fotos… y correos electrónicos.

Esta función permite seleccionar exactamente qué quieres descargarte y establecer que esta copia se realice cada cierto tiempo o que sea una única vez.

Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines

OpenPGP, la infraestructura digital que sostiene un gran número de sistemas de correo electrónico cifrado, está siendo atacada. La ofensiva, pese a su simplicidad (o precisamente debido a ella), ha puesto la red al borde del colapso y amenaza seriamente el futuro de los programas de email encriptados basados en software libre, usados para asegurar la privacidad de las comunicaciones y buque insignia en la lucha por las comunicaciones digitales seguras por derecho. La vulnerabilidad ha sido recogida este lunes por el Instituto Nacional de Ciberseguridad (Incibe) que le da una importancia “crítica”. 

La ofensiva es muy simple pero efectiva: en los sistemas basados en el protocolo OpenPGP, cualquiera puede atestiguar que otro usuario es quien dice ser firmando su certificado personal. El ataque consiste en firmar decenas de miles de veces el certificado de un mismo usuario, sobrecargando el sistema y ralentizándolo hasta machacar su usabilidad, ya que ese base de datos de certificados no se borra jamás.

Llevado al mundo real, es como si el envío de una carta pasara a ser el de un frigorífico. El peso y espacio extra de una a otro se compondría exclusivamente de miles de hojas con declaraciones firmadas por terceros que atestiguan la identidad del remitente de la carta. Debido a las características de OpenPGP, nadie puede desvincular esas declaraciones firmadas de la carta inicial, por lo que enviarla equivaldría al esfuerzo de cargar personalmente con un frigorífico hasta depositarlo en el buzón.

“Esto se decidió así, allá por los 90, por diseño para resistir a los potenciales ataques de gobiernos que quisieran censurar. Recordemos que todo el movimiento de cifrado libre nació como expresión de 'rebeldía' precisamente por el intento de control de la criptografía desde las altas esferas”, recuerda Sergio de los Santos, Director del área de Innovación y Laboratorio en ElevenPaths, unida de Ciberseguridad de Telefónica.

Sin embargo, es esta medida de seguridad la que pone en peligro todo el sistema. Como la base de datos de certificados no se puede borrar ni resetear por diseño, descargar uno “envenenado” equivale a romper la instalación del usuario, ya que en adelante tendrá que trabajar con el frigorífico. Se produce un efecto de denegación de servicio.

Aunque ahora son unos pocos, la comunidad prevé que los certificados contagiados crezcan inexorablemente y no se puede hacer nada al respecto. Se desconoce la identidad o el objetivo de los atacantes, que han usado una simple táctica de vandalismo digital para amenazar una de las estructuras descentralizadas más importantes de la comunidad de software libre.

“Sabíamos desde hace una década que este ataque es posible. Ahora está aquí y es devastador”, ha lamentado Robert J. Hansen, un colaborador de perfil alto de la comunidad de OpenPGP, que está haciendo de portavoz de la crisis. La ofensiva se ha desarrollado durante la última semana de junio y la comunidad no sabe cómo pararla. 

Dos vulnerabilidades conocidas desde hace años 

OpenPGP no es un programa específico de correo electrónico, sino un estándar de uso. De la misma forma que Google Chrome, Mozilla Firefox o Microsoft Edge son navegadores que emplean el protocolo HTML para entender las páginas web, Enigmail, Protonmail y un gran número de sistemas de correo electrónico encriptados utilizan OpenPGP para el envío de emails cifrados. OpenPGP ha sido usado de forma universal por su robustez y estar basado en código libre.

“Cuando Phil Zimmermann desarrolló por primera vez el PGP (”Pretty Good Privacy“, muy buena privacidad) a principios de la década de 1990, hubo un claro problema del huevo y la gallina. La criptografía de clave pública podría revolucionar las comunicaciones, pero los individuos requeridos poseen las claves públicas de cada uno”, ha explicado Hansen: “Para comunicarse de forma privada, cada parte debe tener un pequeño fragmento de datos públicos con los que poder iniciar un canal de comunicación privado”.

Ese “pequeño fragmento de datos públicos” que refiere Hansen funciona como un listín telefónico. La diferencia es que no hay ninguna autoridad central que ratifique que los usuarios y los datos que aparecen en ese fichero se corresponden con la identidad real de las personas. Esa es misión de los propios usuarios, que lo hacen de forma descentralizada firmando los certificados de los demás.

“Por ejemplo -detalla Hansen-, John Hawley (john@ejemplo.org) y yo (rjh@ejemplo.org) somos buenos amigos en la vida real. Nos hemos sentado cara a cara y confirmado nuestros certificados. Sé con certeza que un certificado público específico le pertenece; y él sabe con absoluta certeza que a mí me pertenece otro diferente. John también conoce a H. Peter Anvin (hpa@ejemplo.org) y ha hecho lo mismo con él. Si necesito comunicarme en privado con Peter, puedo buscarlo en el servidor de claves. Si veo que su firma lleva el certificado de John, puedo confiar que realmente pertenece a Peter”.

Aquí es dónde aparece el problema de base en OpenPGP. “En la red de pares de certificados públicos, donde cualquiera puede encontrar la clave pública PGP de una persona, no se borra jamás nada, nunca”, afirma De los Santos. Se diseñó así con objetivo de que un organismo ajeno no pudiera intervenir en él, borrando todo o una parte para engañar al resto de usuarios. 

La otra vulnerabilidad básica de OpenPGP es la ausencia de un límite en el número de firmas que un certificado puede acumular. “Si lo hubiera, también sería un problema, puesto que el atacante podría alcanzar el límite de firmas de confianza de un certificado e impedir que cualquier otro confiara de nuevo en él”, constata el experto de ElevenPaths.

Una prueba tan bien hecha que ha sostenido el sistema una década 

El ataque se dirige específicamente contra el software de de la base de datos donde se almacenan esos fragmentos de información pública necesarios para que el sistema funcione. Recibe el nombre de SKS (Servidor de Sincronización de Claves, por sus siglas en inglés) y fue un desarrollo creado como prueba de concepto de la tesis de Yaron Minsky. Y no hay nadie pendiente de mantenerlo a punto: “Aunque suene extraño, nadie sabe cómo va realmente y necesitarían no arreglar esto sino cuestionar el diseño en sí”, refleja De los Santos.

Sacar de la ecuación al SKS es la forma de defenderse del ataque que sugiere el Incibe, que recomienda “eliminar del llavero los certificados públicos envenenados y adquirirlos, nuevamente, desde un canal confiable”, entre los que sugiere keys.openpgp.org. También es la vía que están probando Hansen y los miembros de la comunidad OpenPGP.

No obstante, estos canales alternativos añaden restricciones y pérdida de funcionalidades al sistema. “El propio Hansen no cree que la red actual sea salvable”, lamenta De los Santos, que recalca que el futuro de la comunidad OpenPGP y del PGP en general, el germen de toda una galaxia de servicios usados para evitar la censura y el espionaje de gobiernos y grandes tecnológicas, queda ahora en entredicho.

Al día se mandan en el mundo miles de millones mensajes desde 3.700 millones cuentas de correo electrónico. La mitad de ellos tienen lugar en el ámbito laboral, según los datos de la consultora tecnológica Radicati Group, una empresa con sedes en la ciudad estadounidense de Palo Alto (California) y en Londres. Resulta muy difícil calcular cuántos de esos e-mails aparecen en la bandeja de entrada de los empleados a deshora. Pero haberlos, los hay, y su existencia constituye un problema en el mundo laboral.

A ellos están asociados problemas de salud como el síndrome del desgaste profesional o burnout. Éste resulta de la exposición prolongada de las personas al estrés, y se traduce en ineficacia y, peor aún, en enfermedades como la fatiga crónica.

No en vano, este año se inscribía en el código laboral de Francia el llamado “derecho a la desconexión”. Éste protegía, en la práctica, a los trabajadores ante la supuesta obligación de responder a mensajes profesionales enviados fuera de sus horarios de trabajo. En España, ya hay empresas que, como la aseguradora Axa, reconocen el derecho a desconectar del trabajo. Queda lejos, eso sí, la voluntad de analizar fórmulas para incorporar a la legislación ese derecho manifestada a principios de año por el Ministerio de Empleo que dirige Fátima Báñez.

En Alemania, país que para muchos pasa por tener una economía modélica, no existe como tal ese derecho a la desconexión. Grandes empresas, sin embargo, reconocen la necesidad de proteger la salud de los empleados frente al estrés que supone recibir mensajes de trabajo fuera de las horas de la jornada laboral. Además, existe un intermitente aunque intenso debate público sobre esta cuestión. Estos días, precisamente, el fabricante de automóviles de lujo Porsche, marca integrante del consorcio germano Volkswagen, se ha convertido en escenario donde enunciar reivindicaciones sobre el derecho a la desconexión.

Uwe Hück, miembro del Consejo de Supervisión de Volkswagen y presidente del comité de empresa de esa marca de coches, alzaba la voz hace unos días para que hubiera cambios en su compañía. “Leer e-mails del jefe y responder fuera de la jornada laboral es tiempo de trabajo que no está pagado, esto hace crecer el estrés y no está para nada bien”, afirmaba Hück.

Para él, su compañía debería instaurar en su funcionamiento que ningún empleado reciba correos electrónicos de trabajo entre las siete de la tarde, hora en la que cierran las oficinas de Porsche, y las seis de la mañana del día siguiente. Sus reivindicaciones en la empresa, que emplea a 27.600 personas, pasan por establecer un sistema que regule la desconexión de los trabajadores en la primera mitad de 2018.

“Las empresas deben, por ley en Alemania, facilitar un tiempo de descanso, como mínimo de once horas, por eso el señor Hück ha hecho esas afirmaciones, para crear una protección”, reconocen a eldiario.es desde Porsche. Con esas palabras, hacen referencia, citando casi palabra por palabra, el artículo 5 la Ley de Protección Laboral alemana. Ésta, con fecha de 1994, seguro que no se redactó teniendo en cuenta las implicaciones de Internet en el mundo del trabajo. En Porsche afirman que respetar esas once horas de descanso, “a menudo no es posible por el flujo habitual de correos electrónicos”.

Dieta de e-mails

No sorprendería que esa situación llegara pronto a su fin en Porsche. Otras grandes empresas alemanas ya aplican medidas que frenan el uso de herramientas de trabajo fuera de la jornada laboral. Por ejemplo, la empresa química germana BASF, un referente mundial en su sector, lleva un par de años poniendo en práctica un programa bautizado como “dieta de e-mails”.

El objetivo de la iniciativa es que todos los trabajadores de la compañía se interroguen sobre su comportamiento a la hora de redactar correos electrónicos. “¿Obtengo siempre todas las respuestas a través de un clic? Una llamada trae a menudo más resultados que escribir un e-mail aquí y otro allá”, según los términos de Margaret Scukale, la responsable del área de trabajo en BASF que implementó la idea.

Poner al correo de vacaciones

En Daimler, fabricante de coches responsable de marcas como Mercedes-Benz o Smart, funciona desde hace tres años la opción Mail on Holiday o “correo electrónico de vacaciones”. Esta posibilidad tecnológica del sistema de correo electrónico de la empresa permite a los 100.000 empleados que la compañía tiene en Alemania no tener que preocuparse por los e-mails que puedan recibir cuando se van de vacaciones.

“Los e-mails que les llegan son borrados automáticamente, quienes los envían reciben una notificación al respecto, y así se evita que los trabajadores cuando vuelvan de vacaciones no tengan 500 e-mails en la bandeja de entrada”, explican desde las oficinas de Daimler a eldiario.es.

Sin embargo, Mail on Holiday se activa de forma voluntaria. Es una decisión personal del empleado. Sobre su uso, Daimler no ofrece estadísticas. Además, como su propio nombre indica, poner de “vacaciones al e-mail” durante quince días en agosto, por ejemplo, no resuelve problemas asociados a correos electrónicos de trabajo enviados a deshora entre semana. Con lo cual, es muy probable que en Daimler todavía se envíen e-mails de trabajo una vez terminada la jornada, que suelen ser de siete horas.

“Entre semana, en la empresa nadie espera recibir una respuesta fuera del horario de trabajo”, apunta un cuadro de la compañía con sede en Stuttgart (suroeste germano). Según datos de la Asociación Alemana de Tecnologías de la Información y Nuevos Medios (Bitkom), casi cuatro de cada diez alemanes (un 38%) están pendientes de los correos profesionales en lo que se supone que es su tiempo de descanso tras la jornada laboral.

Aprobación de los sindicatos

Esa proporción aún resulta elevada, por eso en los sindicatos ven con buenos ojos ideas como la lanzada por Uwe Hück. En sindicatos como IG Metall, referente sindical en el sector industrial, insisten estos días en que “trabajar en la era digital requiere creatividad y buenas ideas”. Así se ha manifestado en unas declaraciones recogidas por eldiario.es Christianne Benner, co-presidenta de IG Metall. Para ella, que no haya “correos después del trabajo ni en vacaciones es un arreglo sensato para reducir la presión creciente” que viven los empleados del sector.

Con desconfianza participan en el debate animado por Hück otras voces del mundo empresarial teutón. Martin Leutz, portavoz de la patronal del sector metalúrgico, ha descalificado las ideas del representante de Porsche hablando de “populismo puro” si de lo que se trata es de generalizar la ausencia de correos electrónicos entre trabajadores de siete de la tarde a seis de la mañana del día siguiente. Poner el grito en el cielo no impedirá, sin embargo, que haya empresas que elijan adaptarse a los riesgos laborales de la era de la información.

“¡¿Pero no has leído mi email?” Si más de una persona importante en tu vida o en tu ámbito profesional te ha dicho esto en el último mes, es que tienes un problema importante de organización o que estás superada o superado por la sobrecarga de tu correo electrónico. En ambas situaciones, es imperativo para ti organizar la bandeja de entrada para no perder emails importantes que, de no ser leídos, pueden causar trastornos tanto en tu trabajo como en tu vida social.

A petición de Ignacio, un socio de eldiario.es, ofrecemos diez consejos sobre Gmail para que puedas ordenar la avalancha de nuevos emails y no se te escape ni uno de los realmente importantes. 

1. Decide qué mensajes quieres ver primero en la bandeja de entrada

En Gmail tienes la opción de ordenar la bandeja de entrada según una serie de criterios, como ver primero los emails de las direcciones que te escriben con más frecuencia, o bien ver aquellas a las que sueles contestar más, o los mensajes que alguna vez has clasificado como importantes, los que tu correo juzga como prioritarios, etc.

También puedes ver primero los que no han sido leídos según vayan entrando. Esta última opción es la que te puede crear una mayor confusión, por lo que es la menos recomendable cuando el flujo de entrada es alto. Cualquiera de las otras, si las puedes configurar, te serán más útiles.

2. Si usas las pestañas en tu bandeja de entrada, edúcalas

Puedes configurar la bandeja de entrada de Gmail con pestañas temáticas. Si lo haces, tienes muchos puntos ganados para poder organizarte mejor. Es aconsejable que predetermines tu bandeja de modo que los mensajes se estructuren así. De este modo se expondrán por separado los mensajes personales, los de redes sociales, las notificaciones profesionales, las promociones y los foros, donde irán toda suerte de boletines o listas de correo.

Por lo general, es el servicio quien determina a qué pestaña debe ir cada mensaje, de modo que deja la bandeja de entrada principal sólo para los que juzga importantes. Pero no siempre acierta y a veces esta se acaba llenando de mensajes intrascendentes que crean ruido visual.

Es posible educar a nuestras pestañas arrastrando un mensaje desde la bandeja principal a la pestaña que le corresponde según nuestro criterio, y ordenando que los mensajes de determinada dirección siempre vayan ahí. 

3. Crea etiquetas temáticas

En el menú lateral de Gmail se pueden crear etiquetas que nos permiten después arrastrar mensajes a ellas. De este modo, si queremos guardar un mensaje importante que acabamos de recibir, lo podemos arrastrar a una de estas carpetas temáticas, donde después podremos volver sobre él. 

4. Crea filtros por direcciones

Aprovechando que hemos creado nuestras etiquetas temáticas, Gmail nos permite, desde el apartado de 'configuración', crear filtros por direcciones remitentes y automatizar su envío a una determinada etiqueta. Así, podemos crear etiquetas para las personas importantes, o para las facturas, por ejemplo, de modo que cuando nos escriban desde sus direcciones preferentes, queden automáticamente guardados en la carpeta correspondiente, que siempre podremos consultar. 

5. Crea filtros por palabras

Otra opción que tienes disponible es crear filtros por palabras que aparezcan en el asunto del mensaje, o por el mensaje completo, y hacer que vayan a una determinada etiqueta, con lo que te será más difícil que te pase inadvertido un determinado email que juzgues prioritario.

6. Determina qué direcciones no enviar nunca a spam

Cuando creas un filtro para determinadas direcciones o por palabras, en Gmail puedes marcar que no se envíe nunca a spam, con lo que sorteas, al menos en teoría, el peligro de que un mensaje importante se cuele en spam por un error del sistema.

7. Aplica un color a cada etiqueta

También desde la opción de crear etiquetas, disponemos de la alternativa de aplicar un color a cada etiqueta. Una vez creada la etiqueta, nos ponemos sobre ella y con el botón derecho abrimos un menú en el que nos aparecerá la opción de elegir el color. Automáticamente se aplicará este color a todos los mensajes de la etiqueta. Esto nos permitirá ver rápidamente en el buzón de entrada a qué etiqueta está asignado cada email que nos llega. 

8. Usa las estrellas para determinar los correos importantes

Otra opción disponible es la de marcar con una estrella los correos importantes, para poder después volver a ellos con facilidad a través de la correspondiente etiqueta, que el servicio crea por defecto. De modo paralelo, el sistema asimila los remitentes de estos correos como prioritarios y los colocará en la pestaña de correo principal, que es la que vemos por defecto. A este respecto, conviene señalar que es importante mirar de vez en cuando en el resto de pestañas para ver que no se cuela un mensaje importante en ellas.

9. Date de baja de todos los boletines que no consultes semanalmente

Promociones, puntos, servicios de cupones, boletines de diferentes páginas web, etc. Debemos decirdir si nos interesa conservarlos o no. De vez en cuando nos pasaremos por el buzón y detectaremos aquellas 'newsletter' a los que estamos suscritos y nunca consultamos para darnos de baja y así limpiar la bandeja de entrada de ruido visual.

10. Mira una vez al día la carpeta de spam

A veces algunos mensajes importantes quedan clasificados como spam. Es muy raro, pero no descartable. No está de mas que te des un garbeo diario por esta carpeta para asegurarte de que se ha colado algo que no debe estar allí. 

Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines

suscríbete a nuestros boletines

Salir del trabajo un viernes a las seis de la tarde. Volver el lunes a las nueve de la mañana. No recibir ningún email de trabajo en ese intervalo de tiempo. Probablemente sea una situación utópica para muchos empleados que ven traspasada continuamente la línea entre el empleo y el descanso.

Recientemente en Francia se alcanzó un acuerdo entre trabajadores y sindicatos de la alta tecnología y la consultoría para que los empleados que superaran en un día las 13 horas laborales tuvieran “derecho a la desconexión”. Es decir, que no tuvieran la obligación de atender los mensajes procedentes de la empresa. La medida causó revuelo y hubo presión por su inclusión en la polémica reforma laboral francesa. Por el momento se ha desechado, aunque el debate ya está sobre la mesa en el país galo, si bien a España todavía le queda un largo camino por recorrer en este sentido.

Atos es una compañía dedicada a los servicios de tecnologías de la información y que en 2014 impuso la prohibición de enviar emails internos fuera del horario laboral. Thierry Breton, jefe de la empresa, basó su decisión en que “los jóvenes que estamos contratando no usan el correo electrónico desde que salen de la universidad. En su lugar, usan herramientas de mensajería instantánea como Facebook. Por eso cuando llegan y ven correos internos como Outlook no saben qué hacer”.

Volkswagen también tuvo una iniciativa similar con anterioridad, en 2011, cuando su filial alemana decidió poner fin a los emails de trabajo para determinados empleados durante las horas de descanso. La medida iba desde media hora después de salir el viernes hasta media hora antes de volver a entrar el lunes siguiente.

La presión para que se incluya el derecho a la desconexión no ha traspasado los Pirineos para llegar a España, o al menos así lo ve Ana Godino, abogada del bufete Sagardoy. “Ahora mismo los sindicatos no lo están exigiendo, si uno sabe que su obligación es cumplir con un determinado horario laboral, está en su responsabilidad de cumplir o no. No obstante, es difícil regular algo por lo que uno no tiene obligación”, sentencia.

En su momento Volkswagen Audi España valoró si debía implantar esta medida en territorio nacional, a raíz de lo instaurado por su matriz alemana, pero finalmente lo descartaron. Fuentes de la marca aseguran que “no tenía sentido implantar lo mismo aquí, nosotros preferimos potenciar políticas de conciliación como la flexibilidad de los horarios para que puedan adaptarse a las necesidades de los empleados”.

Godino considera que la cuestión de prohibir los correos electrónicos fuera del horario laboral “todavía no se ha planteado como una necesidad en España”. “Sí es verdad que hay una práctica progresiva de seguir trabajando fuera del horario laboral, pero tal y como está nuestro ordenamiento jurídico, no tendría por qué ocurrir, ya que en nuestra regulación sí se mantiene el derecho a la vida privada, por lo que no existe la obligación de seguir contestando a los correos”.

Godino no recuerda casos en España relacionados con los emails fuera del horario laboral, “pero sí se han planteado otras cuestiones más amplias como la obligación de tener un medio tecnológico que no sea el de empresa a disposición de la compañía”.

Gonzalo Pino, secretario de política sindical de la Unión General de Trabajadores (UGT), cree que “en nuestro país el derecho a desconectar está bien fundamentado en el Estatuto de los Trabajadores. El tiempo de trabajo está regulado, y cualquier práctica que se sale de este ámbito es una vulneración”. Aunque también advierte que trabajar fuera de horario laboral es una práctica que con la crisis y el temor a perder el puesto ha proliferado: “Se producen más situaciones de aprovechamiento”.

Sin embargo, también hace hincapié en que contestar a correos de trabajo “es algo inevitable en determinados puestos, algunos trabajadores tienen el compromiso de estar disponibles fuera del horario. Tener el email en el móvil nos ha facilitado la vida, pero también facilita llevarse el trabajo a casa”.

De cara a la regulación de este aspecto que ya se discute en Francia, el representante de la UGT señala que “si se recupera la negociación colectiva en el futuro seguramente será un mal que trataremos de atajar mediante un acuerdo colectivo. No vamos a tolerar que se cometan abusos en este sentido, y para ello el derecho laboral se tendrá que aplicar y renovar porque es el punto de encuentro para resolver estas situaciones”.

Aunque el primer informe de la OCDE sobre tecnología en el aula indica que disponer de más ordenadores y hacer un uso más extenso de ellos no mejora automáticamente los resultados escolares (de hecho, al parecer, sucede todo lo contrario), es incuestionable que hoy en día hay mucha tecnología en los colegios, ya sea la que aporta el propio centro o la que lleva de casa el estudiante con su recién estrenado teléfono inteligente.  

El uso de estas herramientas conlleva una serie de interrogantes legales que afectan a los centros educativos, a los alumnos y, sobre todo, a la privacidad de todos ellos.

Obras de teatro y otras celebraciones

Sin lugar a dudas, un colegio celebrará durante el año actos públicos con la participación de los estudiantes para que los familiares asistan. ¿Puede el colegio grabarlos en vídeo para la posteridad? Sí, siempre y cuando cuente con el consentimiento de los padres. No hay que olvidar que la imagen es un dato de carácter personal. En este caso, además, se trata de la imagen de un menor de edad.

Si un padre no quiere que graben a su hijo, aunque el resto no se oponga, estaremos ante una situación compleja en la que el niño en cuestión podría quedar fuera de la participación en la obra. No obstante, debería tenerse muy en cuenta el caso particular, el tipo de obra, su finalidad y el ámbito de difusión, entre otras cosas.

Por otro lado, el curso pasado dio mucho que hablar un caso sobre el uso de YouTube en las aulas. Una profesora de inglés puso como ejercicio a sus alumnos que se grabaran para valorar su pronunciación y subieran luego el vídeo a YouTube, en lugar de entregarlo en el típico formato físico. Por tanto, un dato de carácter personal se estaba compartiendo en un servicio de terceros y con dudas sobre el consentimiento otorgado por los alumnos.

El caso llegó a la Agencia Española de Protección de Datos y ésta indicó que, si bien hay formatos más adecuados para conciliar la protección de datos personales de menores y la tarea académica, la actuación no era sancionable.

Los blogs de los alumnos

Cada día es más habitual que los colegios usen blogs para comunicar a los padres el día a día de sus hijos y las diferentes actividades que realizan. Blogs que incluirán normalmente fotografías de los menores, así que estamos nuevamente ante un dato de carácter personal.

Es algo que puede hacerse, siempre y cuando se disponga del correspondiente consentimiento de las personas afectadas, los padres, y se realice previa identificación del usuario que accede al contenido para personalizar la comunicación. Es decir, no sería ideal que los blogs se publicaran en abierto, para todo el mundo. Se debería acceder a ellos mediante usuario y contraseña, segmentando en todo lo posible la información que se muestra por grupos, cursos o etapas.

En el caso de los blogs creados por las asociaciones de madres y padres de alumnos (AMPA), es interesante lo que dictaminó en 2013 la Autoridad Catalana de Protección de Datos (APDCAT) en cuanto a su responsabilidad en la gestión de sus blogs relativos a los diferentes jardines de infancia de un municipio. Según el organismo, la responsabilidad es del AMPA, no del ayuntamiento o la concesionaria.

Un correo electrónico para cada niño

Digamos que el colegio, en el marco de un programa para promover el uso de las nuevas tecnologías, crea un correo electrónico para cada uno de los usuarios menores de edad. ¿Haría falta el consentimiento de los padres? Si estamos antes menores de 14 años y el correo electrónico se puede utilizar con finalidades que van más allá de la puramente académica, sí es necesario.

En el caso de usuarios menores de 14 años que crean una cuenta de correo electrónico en el marco de la actividad docente y específicamente para esa finalidad, el día a día del colegio, en principio no haría falta.

El correo electrónico en el ámbito educativo da bastante juego. Por ejemplo, cabría preguntarse si se puede proporcionar la dirección de correo electrónico del docente a los padres que lo soliciten. Obviamente, se puede, y además no es necesario el consentimiento del profesor (siempre pensando que se pide para conocer la evolución del alumno).

En cuanto a la situación inversa, la del docente que le pide al alumno menor de edad la dirección de correo electrónico de sus padres, lo cierto es que sería necesario el consentimiento de los progenitores. Con una excepción: que la dirección de 'email' resulte necesaria para completar la capacidad del menor de edad. De ahí que se requiera el correo electrónico de los padres para solicitar ese consentimiento.

En este ámbito, la Guía Básica de Protección de Datos para los Centros Educativos de la APDCAT procura despejar la mayoría de las dudas.

Trabajo en equipo

No hay mejor herramienta para hacer buen trabajo en equipo, entre los propios alumnos y entre profesores y estudiantes, que una intranet: una red privada a la que se accede mediante usuario y contraseña y cuyo contenido no es visible para el resto del mundo.

El problema aquí radica en que, dado el coste de montar una intranet propia, en general, se recurre a servicios de terceros que, a cambio de una suscripción mensual, facilitan servicios de gran calidad y a un precio razonable. Servicios como Google Apps para Educación, Edmodo, Schoology o Edoome, entre muchos otros.

Un punto importante a este respecto es la ubicación de los datos personales que se incorporan al servicio. Si no tenemos en cuenta lo establecido en los términos y condiciones, es posible que sin darnos cuenta estemos abriendo un canal por el que estudiantes y profesores estén proporcionando su información personal mucho más allá del territorio español. La llamada “transferencia internacional de datos”, técnicamente hablando. Algo que puede ser muy problemático si el servicio que recopila esos datos y el país en que los almacena no proporcionan un nivel de garantías equivalente al europeo en materia de protección de datos.

Por curiosidad, ¿dónde alojan los servicios comentados los datos que recopilan? Google Apps en Estados Unidos, si bien es cierto que la multinacional está adherida al Acuerdo de Puerto Seguro, un pacto entre la Unión Europea y la potencia norteamericana que en principio garantiza su cumplimiento en materia de protección de datos de acuerdo a la normativa del Viejo Continente. Edmodo también los almacena en EE.UU. y también está adherido al Acuerdo de Puerto Seguro. Lo mismo sucede con Schoology o CourseSites. En Edoome resulta imposible descubrirlo, ya que el enlace a sus Términos y Condiciones está roto.  

En todo caso, existen alternativas nacionales que en principio no deberían presentar este inconveniente, como por ejemplo RedAlumnos.

Un móvil en cada bolsillo

He aquí un tema peliagudo, y cada día más presente, relativo a si puede el director o el profesor de un colegio revisar el contenido del móvil de un alumno. La regla general es que no, que requiere el consentimiento de sus padres en el caso de un menor de edad o el consentimiento del propio alumno si es mayor de 14 años. Sin embargo, como no hay derecho absoluto, y el derecho a la protección de datos no es ilimitado, debe valorarse en cada caso concreto qué derechos están colisionando.

De ese análisis podría entenderse que un centro escolar sí puede acceder al teléfono del menor sin consentimiento de sus padres. Sería, por ejemplo, el caso que llegó no hace mucho hasta la Audiencia Nacional, que estimó correcta la actuación del director del colegio porque los derechos de los otros menores se anteponían a la protección de datos del menor cuyo móvil había sido revisado.

Con móvil o sin él, en la función navideña o a través del blog del profesor, lo cierto es que la tecnología ha entrado en los colegios y lo ha hecho para quedarse. En estos primeros momentos, habrá que andarse con pies de plomo para hacer un uso intensivo, eficiente y legal de las nuevas tecnologías en el entorno educativo.

---

Las imágenes de este artículo son propiedad de Startup Stock Photos, USAG, Steve Jonhson e Intel Free Press

Nacido en junio de 1978, Garfield supo convertirse en todo un icono felino mucho antes de la llegada de los GIF y los vídeos de YouTube. Su universo ha crecido sin parar en estos cerca de cuarenta años. Más allá de las viñetas creadas por el dibujante estadounidense Jim Davis, este gato naranja ha protagonizado series de televisión, videojuegos y un par de películas. Sin olvidar, claro, las toneladas de tarjetas de felicitación en las que aparece o el sinfín de tazas, camisetas y otros productos de ‘merchandising’ que protagoniza.

Lo que la mayoría desconoce es que Paws, la compañía creada por Davis y propietaria de los derechos del personaje, también creó su propio servicio de correo electrónico a finales de los años 90. Se llamaba GMail. Poco antes de que Google anunciara su herramienta, aquella denominación estaba en manos de un amante de la lasaña que odia los lunes con todas sus fuerzas.

No es una leyenda urbana de esas que circulan por la Red sin pruebas que las corroboren. Hay pocas evidencias, pero la prodigiosa memoria de Internet Archive permite recuperar la pantalla de acceso al servicio, que habría estado activa al menos entre 1997 o 1998 (antes incluso de que se fundara Google) y comienzos del año 2001.

Un par de campos para introducir usuario y contraseña, el clásico formulario de registro y un menú de navegación componen la sencilla interfaz de aquel GMail, protagonizada por un Garfield disfrazado de cartero. El 'webmaster' de Paws se olvidaba así de Herman Post, el repartidor de correo al que el gato hacía la vida imposible en la serie.

En 2001, Paws hizo mudanza. “Este es un aviso importante en relación con su cuenta de GMail”, se anunciaba entonces en la web de Garfield. La empresa se veía obligada a cambiar de proveedor y comenzaba a ofrecer un nuevo servicio de correo: e-garfield.

“Nunca fuimos propietarios del dominio gmail.com”. Esto es todo lo que respondieron desde Paws cuando HojaDeRouter.com se puso en contacto con la empresa para preguntar por el servicio de correo. Es rigurosamente cierto. De hecho, aunque en la Red pueda leerse que Google ofreció una importante suma de dinero para hacerse con Gmail, la realidad es bien distinta.

Un simple vistazo a la barra de direcciones en la página de acceso al GMail de Garfield sirve para confirmar que “gmail” se utilizaba como un subdominio de garfield.com (gmail.garfield.com), además de como nombre del servicio.

El dominio que más tarde estaría en manos de Google (gmail.com) era propiedad en aquellos compases previos al inicio del siglo XXI de una compañía llamada US Email que se dedicaba, precisamente, a ofrecer cuentas de correo electrónico, desde “@cabo.com” hasta “@themoon.com” pasando por “@gmail.com”.

Con el tiempo, US Email desapareció. El 1 de abril de 2004, Google lanzaba la versión 'beta' de su propio servicio de correo electrónico. Sin rastro de pelos gatunos, pero aún con cierto olor a lasaña, Brin y Page seguían de alguna manera la senda de Garfield.

Aunque ya no es posible tener una cuenta de GMail con su sello, los amantes del personaje creado por Jim Davis aún pueden tener uno de sus correos electrónicos. Con dominios tan propios de Garfield como “@ihatemondays.net” o “@borntosleep.net” (“odio los lunes” y “nacido para dormir” en castellano), Paws sigue ofreciendo un servicio de ‘email’ provisto por la compañía británica My Brand Email. Si alguno de esos nombres se convierte en una futura herramienta de Google, no quedará duda alguna: el verdadero gurú de internet es Garfield.

------------------

La imagen principal de este artículo es propiedad de Wikimedia Commons

Hasta el momento quienes usan servidores de correo online (webmail) como Gmail o Yahoo y quieren añadir una capa adicional de protección a sus comunicaciones tienen que recurrir a plugins externos como Mailvelope que permiten cifrar el contenido de los correos electrónicos con el servicio PGP de criptografía con clave pública o incluso aventurarse en el uso de herramientas que en un principio pueden parecer complejas de instalar y usar –como Tails. Estos dos grandes del correo electrónico web llevan ya meses trabajando en sus propias extensiones de cifrado de extremo-a-extremo.

El deseo de Google es hacer el cifrado de extremo-a-extremo “más fácil de usar”, tal y como señalaba Stephan Somogyi, jefe de producto, seguridad y privacidad de la corporación estadounidense en el blog corporativo del equipo con motivo de la migración del código fuente de la versión alpha del plugin a la plataforma de verificación de código software GitHub. Casi un año más tarde coincidimos con él durante el transcurso de Re:publica 2015 –la mayor conferencia europea de Internet y Sociedad en red celebrada en Berlín– y puntualiza: “nuestra prioridad es primero hacer un servicio seguro y en segundo lugar algo fácil de usar, pero no al revés”.

Esa solución se llama End-to-End, la futura extensión de Chrome construida sobre una criptolibrería de nuevo diseño basada en JavaScript, que ayudará a cifrar, descifrar, usar firmas digitales, y verificar mensajes dentro del propio navegador usando OpenPGP –el estándar abierto para cifrado más extendido y que a su vez derivó originalmente del PGP creado por Phil Zimmermann en 1991—.

Como formato estándar, este lleva funcionando desde hace más de dos décadas, si bien “a lo largo de los años se han ido encontrando muchos errores, errores que ahora sabemos son clave, como por ejemplo: la gestión de llaves, su distribución, etcétera”, apunta el ingeniero de sistemas. Motivos que identifica como factores responsables de la baja adopción de este sistema por parte de los usuarios.

Un 'key server' propio que rompe con el modelo 'web-of-trust'

En el sistema PGP, para que el intercambio de mensajes cifrados sea posible, es decir, que emisor y destinatario puedan cifrar y descifrar respectivamente el mensaje, es necesario que hayan intercambiado previamente sus claves públicas. Para facilitar este intercambio, existen servidores de claves PGP externos, que funcionan como almacenes de estas particulares 'llaves', que a su vez están ligadas a las claves privadas de sus respectivos usuarios y que permiten abrir el correo cifrado.

Según Somogyi, contar con un servidor de claves propio “permitiría a nuestros clientes hacer backups de claves, encontrar claves de otros usuarios y hacer las claves disponibles al 'mundo exterior' –como ya anunciamos estamos colaborando con Yahoo para que sus usuarios y los usuarios Gmail puedan intercambiar claves”.

El responsable de Seguridad y Privacidad de Google se refiere a la alianza a la que han llegado ambas compañías con un fin común: incrementar el uso y la usabilidad de la criptografía. Como adelantaba el pasado año Alex Stamos, Jefe de Seguridad de Información de Yahoo, con motivo del anuncio de los planes de la compañía de seguir los pasos de su competidor en lo que respecta a cifrado de extremo-a-extremo: “esto significa que no sólo los usuarios de Yahoo Mail podrán comunicarse de forma cifrada con otros usuarios de Yahoo Mail, sino también con usuarios de Gmail y en un futuro con otros sistemas de correo electrónico que adopten metodologías similares”.

Pero no sólo eso, Google está optando por un “novedoso enfoque” con este prototipo de key server, ya que “rompe” con el actual modelo web-of-trust de confianza distribuida, apostando ahora por un sistema centralizado para autentificar las identidades entre usuarios –apunta Bill Budington, ingeniero de sistemas de la Electronic Frontier Foundation.

Actualmente, lo normal es que un usuario se descargue la clave de otro usuario a través de uno de los múltiples servidores de claves que existen, y luego compruebe si esa clave es la correcta leyendo una larga cadena de cifras y letras, la cual es una representación de sus claves en formato extraído. Si la clave es correcta, les asegura que cuando se manden mensajes cifrados, nadie más podrá descifrarlos. Esta comprobación manual y descentralizada es un proceso bastante laborioso, por lo que desde hace tiempo la comunidad de desarrolladores web investiga la forma de facilitar el proceso.

“Esto es una victoria en términos de usabilidad, ya que todo ese proceso sucede entre bambalinas sin que el usuario intervenga. Aunque todavía no está claro cuán comparable es la seguridad de este sistema con respecto a la del tradicional, la verificación de claves manual, ya que aún no ha sido ampliamente implementado ni auditado”, subraya Budington.

Liberación del código fuente en GitHub

Tal vez por ello, y tras varios varios meses sin novedades, sigue siendo una incógnita cuándo estará lista la versión no-alpha del plug-in. En el post del blog de Google mencionado anteriormente expresaban su deseo de “tener una End-to-End mucho más desarrollada para 2015”, sin embargo, fuentes corporativas consultadas para la publicación de este artículo, insisten en que éste sigue siendo un “proyecto pequeño, que en el futuro será una extensión de Chrome pero que todavía no existe”.

Por su parte, Yahoo, que también anunció el pasado año que empezaría a ofrecer a sus usuarios la opción de cifrado extremo-a-extremos en 2015, difundía el pasado mes de marzo un vídeo demo –que recogía en el propio Stamos en una entrada del blog – mostrando cómo será el funcionamiento del cifrado de correos electrónicos de Yahoo Mail con la extensión Chrome e2e, en comparación con la Pretty Good Privacy a través de la herramienta GPGtools.

Durante la conversación en Berlín, Somogyi mantiene la hermeticidad habitual de la casa y no se aventura a adelantar aún una fecha concreta de lanzamiento para la versión oficial. “Poner artificialmente una fecha no sería bueno en términos de calidad. No podemos permitirnos ofrecer un servicio destinado a gente que realmente lo necesita por cuestiones de seguridad, como periodistas o defensores de los derechos humanos, sin tener todas las garantías de que será seguro”.

“Inicialmente teníamos el código en nuestro propio repositorio, en el mes de diciembre lo migramos a GitHub, precisamente porque queríamos contar con la participación de la comunidad, para asegurarnos que revisaría el código y sí, se encontraron algunos bugs de seguridad que se han resuelto”.

Por sorprendente que pueda resultar que una gran corporación como ésta comparta el código fuente de uno de sus futuros productos, lo cierto es que no es tan inusual, de hecho, el emporio que dirige Larry Page cuenta con un Programa Recompensa para Vulnerabilidades que ofrece compensaciones económicas por descubrir fallos de seguridad en el código de los servicios de Google web, Youtube y Blogger.

“Nada garantiza que si se abre un código vaya a mejorarse –matiza el que fuera anteriormente Director de productos de PGP Corporation—, el open source permite que sea haga auditable pero no garantiza la seguridad, si eso fuera así no habrían existido Heartbleed, Poodle y otras tantas vulnerabilidades; de modo que el código abierto es necesario pero no suficiente en lo que respecta a ciertos aspectos críticos de la seguridad”.

“En Google confiamos plenamente en nuestra capacitación como ingenieros, por eso hay cosas que no hacemos open source, y para las que contamos con procesos internos que son de sobra suficientes para garantizar la seguridad”, aclara Somogyi.

“El hecho de que End-to-End sea un proyecto de código abierto y que su proceso de desarrollo sea transparente debería reconfortar a aquellos usuarios preocupados por la seguridad y fiabilidad del software, pero el hecho de que se desarrolle en abierto no es en sí mismo suficiente” coincide el ingeniero de EFF. “Las auditorías por parte de terceros y revisiones por pares son vitales para cerciorarse de que se encuentran y resuelven posibles vulnerabilidades del software lo antes posible. Afortunadamente, Google cuenta con su programa de recompensa para quienes encuentran errores de seguridad”.

¿Es el cifrado in-browser realmente fiable?

¿Es el cifrado in-browser realmente fiable?Para algunos sectores de la comunidad tech, la denominada criptografía in-browser (dentro del navegador) sigue despertando ciertas suspicacias, aunque “muchas cosas han cambiado en los últimos años”, según apunta el ingeniero de la EFF.

“En el pasado la criptografía in-browser no era posible. La reconocida firma de seguridad, Matasano, publicó en 2011 su famoso post enumerando todas las razones por las que realizar el cifrado en el navegador era dañino, desaconsejable e incluso peligroso. Entre ellas destacaban el hecho de que no hubiese en Javascript un generador de números aleatorios lo suficientemente bueno para criptografía, no hubiese mecanismos para firmar el código que se entrega para asegurar que se comporta correctamente, ni se dispusiese de ninguno de los elementos básicos para una buena criptografía –los llamadas 'primitivas criptográficas'—. Pero ahora, ”todos los navegadores de escritorio y la mayoría de los navegadores móviles son compatibles con fuertes generadores de números aleatorios a nivel de sistema operativo“.

Tal y como explica Budington, el grupo de trabajo de Criptografía del Consorcio de la World Wide Web (W3C) –comunidad internacional, liderada por el inventor de la web, Tim Berners-Lee, cuyo fin es desarrollar estándares web— ha ideado una API que los fabricantes de navegadores están implementando para asegurar la disponibilidad de primitivas criptográficas de bajo nivel. “End-to-End estará disponible como una extensión de navegador en la tienda web de Chrome, por lo que cada versión irá firmada por Google antes de ser entregada y ejecutada por los usuarios finales”.

De hecho, otras extensiones para navegador tan extendidas como CryptoCat también utilizan este mecanismo de entrega de código a sus usuarios. “Todo esto significa que si los desarrolladores siguen ciertas buenas prácticas establecidas, pueden desarrollar aplicaciones de cifrado para navegadores seguras”, por ello, desde la EFF aplauden la iniciativa de Gmail.

Especialmente, en un momento como el actual en el que, tras desvelarse que el programa PRISM de la NSA interceptaba información de corporaciones como Yahoo, Google, Facebook o Apple, la concienciación de los internautas con respecto a su privacidad y la seguridad de sus comunicaciones va en paulatino aumento. De un tiempo a esta parte, la labor de la comunidad tech está contribuyendo a lo que puede considerarse una democratización de unas herramientas antes manejadas en su mayoría por personas con un perfil informático elevado, por lo que esta alianza entre los dos gigantes del webmail pone de manifiesto, cuanto menos, que la criptografía es una prioridad cada vez mayor para la industria y la sociedad post-Snowden.

Foto: Yuri Samoilov

La empresa pública Visocan, dependiente de la Consejería de Vivienda del Gobierno de Canarias, desistió el pasado 15 de diciembre de adjudicar dos contratos para el mantenimiento de sus edificios después de abrir los sobres con las ofertas económicas presentadas por los licitadores. La mercantil recogió la queja elevada por una de las empresas acerca de una confusión en el envío de un correo electrónico, la analizó y concluyó que la infracción no era subsanable, por lo que decidió dar carpetazo al procedimiento.

La decisión ha causado estupor en varias licitadoras y al menos una de ellas ha decidido recurrir por la vía administrativa al entender que Visocan ha dispensado un trato de favor a la empresa Sempro Instalaciones, la autora de la queja, que había presentado en el lote de mayor cuantía la oferta económica más elevada y que, según fuentes del sector, acumula buena parte de los trabajos en las promociones de viviendas de la empresa pública.

Los anuncios de licitación para la adjudicación de los contratos de los servicios de fontanería y equipamientos contraincendios se publicaron, respectivamente, el 10 y 11 de noviembre de 2014. Al primero de ellos, que tenía un presupuesto base de 110.000 euros (70.000 para Gran Canaria y 40.000 para Tenerife), se presentaron nueve proposiciones. Al segundo, de 130.000 euros (90.000 en Gran Canaria y 40.000 en Tenerife), concurrieron 13 empresas.

Tras la publicación de los pliegos y durante el periodo de información y subsanación de errores, algunas licitadoras plantearon una serie de dudas y Visocan les hizo llegar a través de un correo electrónico un modelo de presupuesto con las unidades a ofertar que era distinto al listado que figuraba en el Anexo V de los pliegos de cláusulas administrativas, el que se debía presentar. Sin embargo, la empresa pública no precisó en el correo que la ampliación enviada sustituyera al anexo ni incorporó modificaciones a los pliegos.

Según consta en las resoluciones de los concursos, concluida la apertura de las proposiciones, el representante de Sempro Instalaciones puso de manifiesto que los modelos presentados por los diferentes licitadores diferían: unos habían incorporado el listado enviado por email y otros, el Anexo V de los pliegos.

Tras comprobar este extremo, Visocan sentenció que, “por distintos motivos”, no fue posible hacerle llegar a todas las empresas la nueva información y que esta circunstancia impedía “puntuar las ofertas económicas respecto de dicho criterio de adjudicación, ante las diferencias existentes entre ambas relaciones de unidades de reparación valoradas”. Por ello, alegando razones de interés público, desistió del procedimiento.

La Ley de Contratos del Sector Público permite esta opción siempre que se produzca antes de la adjudicación del contrato y que esté fundada en una infracción no subsanable. El debate que plantean varias licitadoras es si esta circunstancia no se pudo solventar dadas las coincidencias entre ambos modelos y, sobre todo, si se ha producido por parte de las empresas que presentaron el modelo enviado por correo electrónico un incumplimiento de los requisitos fijados en los pliegos.

Y es que el punto 12.3 de ambos documentos especificaba que el contenido de las ofertas económicas debía ser redactado según el Anexo V del pliego, que no se admitirían proposiciones en las que no se presupuestara la totalidad de las unidades recogidas en dicho anexo y que, si algún licitador no aportaba la documentación relativa al mismo, su oferta no sería valorada respecto del criterio que se trataba.

En este sentido, el representante de una de las licitadoras, que prefiere permanecer en el anonimato, critica que se desista del concurso a pesar de que hay empresas que, aun recibiendo el correo con el otro listado, presentaron las ofertas “de forma correcta”, de acuerdo a lo estipulado en unos pliegos que, recuerda, “nadie impugnó”. Además considera que el hecho de que las licitadoras ya conozcan las ofertas económicas presentadas vicia cualquier procedimiento que se pueda abrir con posterioridad.

Este periódico formuló la pasada semana a la Consejería de Vivienda del Gobierno de Canarias una batería de preguntas acerca de este desistimiento, de los contratos adjudicados en las promociones de viviendas en Visocan y de los plazos para convocar de nuevo los concursos y aún no ha obtenido respuesta. En relación a este último término, en el perfil del contratante de la empresa pública no consta ningún anuncio de licitación para los contratos de los servicios de fontanería y equipamientos contraincendios.

Las revelaciones de Edward Snowden sobre los programas de espionaje masivo de la NSA nos mostraron que, realmente, ningún servidor estaba seguro si se alojaba en Estados Unidos. Tal y como declaraba Glenn Greenwald, la intromisión de la NSA en los sistemas de empresas como Google ha generado desconfianza entre los usuarios. La atención se dirige hacia alternativas que garanticen el secreto de las comunicaciones “extremo a extremo” o hacia servidores que estén alojados en países mucho más respetuosos con la privacidad. Brasil llegó a anunciar el desarrollo de un servicio de correo propio para ofrecerlo a sus ciudadanos.

En plena vorágine del caso Snowden, Lavabit, un servicio de correo electrónico que ofrecía cifrado “extremo a extremo” de las comunicaciones, tuvo que anunciar el cierre de su servicio. ¿El motivo? Las peticiones de información que realizaban los servicios de inteligencia de Estados Unidos y que, evidentemente, implicaban la entrega de datos de sus usuarios. Antes de exponer a sus usuarios y entregar sus claves privadas de cifrado, Ladar Levison, el fundador de la compañía, decidió cerrar el servicio y poner fin a sus operaciones, además de enfrentarse a un proceso judicial.

El cierre de Lavabit dejó vacío en el segmento de las comunicaciones seguras; precisamente, Ladar Levison puso en marcha un proyecto que pretendía cubrir este vacío: el desarrollo de un protocolo de correo electrónico totalmente seguro que, de verdad, ofreciese comunicaciones cifradas. ¿Su nombre? Dark Mail.

Dark Mail, el protocolo de correo seguro heredero de Lavabit

Lavabit era un servicio de correo electrónico seguro que cifraba las comunicaciones “extremo a extremo” y almacenaba la información cifrada en sus servidores. Este servicio, utilizado por más de 400.000 usuarios desde que arrancó sus operaciones en 2005, era utilizado también por Edward Snowden y, en medio del escándalo de las revelaciones del exanalista de la NSA, el servicio tuvo que cerrar para así no tener que abrir sus servidores (y claves privadas de cifrado) al Gobierno de Estados Unidos.

El 8 de agosto de 2013, Ladar Levison anunció el cierre de Lavabit para así proteger las 410.000 cuentas de correo electrónico que custodiaban. Qué datos fueron solicitados a Lavabit es algo que no se conoce. Las peticiones gubernamentales a los servicios de Internet son secretas y, por tanto, no se pueden revelar a la opinión pública.

Para intentar suplir el vacío que había dejado el cierre de Lavabit, Ladar Levison puso en marcha en noviembre de 2013 un nuevo proyecto que intentaba aplicar todo el know-how adquirido en Lavabit. A partir de una campaña en Kickstarter, Ladar Levison presentó el proyecto Dark Mail, un sistema de correo electrónico seguro que, en gran medida, se apoyaba sobre el código de Lavabit y, de esta forma, lo abría a la comunidad para extender este tipo de servicios seguros.

Con un objetivo de financiación de algo más de 196.000 dólares, la campaña recaudó alrededor de 212.500 dólares para poner en marcha un proyecto de software libre que diseñaba un nuevo protocolo de correo electrónico que ofrece comunicaciones cifradas “extremo a extremo” y que se podría implementar en cualquier servicio de correo que ya estuviese funcionando.

La idea es que Dark Mail sea implantado en el mayor número de servicios posible con el objetivo de garantizar el secreto de las comunicaciones. Para que el envío de un correo electrónico sea seguro, tanto emisor como receptor deben “hablar” el protocolo Dark Mail; si no fuese así, solamente serían privadas las comunicaciones de usuarios del servicio que sí implementase este protocolo (por ello la importancia de que Dark Mail sea un proyecto en código abierto, para que se pueda extender su aplicación y, además, pueda ser auditado).

Dark Mail: estado actual

Tras la campaña de Kickstarter, el proyecto se ha establecido bajo la figura de Dark Mail Technical Alliance que está liderada por Jon Callas, Mike Janke y Phil Zimmermann (responsable del diseño de PGP) además de Lavar Levison y el equipo de Lavabit y de Silent Circle.

El nombre oficial del proyecto Dark Mail es Dark Internet Mail Environment (DIME) y su objetivo es sustituir los servidores actuales de correo electrónico para ofrecer comunicaciones seguras “extremo a extremo” gracias a DMTP (Dark Mail Transfer Protocol) y DMAP (Dark Mail Access Protocol). Gracias a este sistema, a un correo electrónico se le aplicarían distintas capas de cifrado para que, durante su viaje desde el remitente al destinatario, el mensaje solamente muestre la información que se necesita para cursar la comunicación (dejando siempre oculto el contenido del mensaje).

Básicamente, el servidor de correo electrónico del remitente del mensaje solamente puede descifrar la parte del mensaje que contiene la dirección de correo destino y el servidor del destinatario solamente puede ver la dirección del destinatario (para entregar el mensaje en su buzón) pero no puede ver ni el contenido ni tampoco el correo electrónico del remitente (solamente puede saber del servidor del que procede). Para que este esquema funcione, DIME se apoya sobre un sistema de claves federado (algo parecido al funcionamiento de los servidores DNS) dado que cada sistema que forme parte del proceso de envío y recepción de correos electrónicos tiene sus propias claves públicas y privadas de cifrado.

Por ahora, DIME se apoya sobre el código fuente de Magma, el servidor de correo electrónico que usaba Lavabit; sin embargo, la idea es que esto se pueda extender a los sistemas que se usan habitualmente (como por ejemplo Postfix). En estos momentos, el sistema sigue siendo experimental; aún no es posible implementar un servicio de correo electrónico basado en DIME, en GitHub existe un repositorio con la versión “pre-alpha” del código y en la web del proyecto hay un documento de especificaciones y arquitectura que se puede consultar libremente pero aún no estamos ante un sistema que se pueda probar o auditar.

Si realmente consiguen llevar el proyecto a buen puerto (y parece que avanza a buen ritmo), DIME podría ofrecer a Google o Yahoo! (y también a las grandes empresas) un protocolo que, de manera transparente para el usuario, ofreciera comunicaciones seguras “extremo a extremo” sin tener que recurrir a componentes externos (como, por ejemplo, PGP).

Imagen: Richard Elzey (Flickr)

Quieres alquilar tu piso, así que cuelgas un anuncio en cualquiera de las plataformas de internet habilitadas para ello. Un buen día, abres el correo y entre la lluvia de mensajes con motivo de la oferta te llama la atención uno escrito en inglés. “Hello Dear”, comienza. El remitente dice que está muy interesado en tu propiedad. Utiliza un lenguaje enrevesado, lleno de frases que no concuerdan.

Dice ser un veterano de guerra estadounidense que reside en Afganistán y quiere esconder en tu casa nada más y nada menos que 18,2 millones de euros. El dinero lo obtuvo de sus inversiones en petróleo en Irak. No puede llevárselo a Estados Unidos y piensa mudarse pronto a España. Si accedes a esconder su tesoro, te llevarás el 20%. Suena a milonga, ¿no?

Se trata de una de las modalidades de la llamada 'estafa nigeriana', una extendida forma de correo fraudulento o 'spam''spam'. El militar puede transformarse en un pariente desconocido, una señorita que ofrece su inocente amistad o alguien que te notifica un premio de la lotería (aunque nunca hayas jugado). Todas acaban igual: quien debe apoquinar es el destinatario del correo.

El nombre del timo proviene de otra versión, en la que una supuesta compañía de un país africano promete transferir grandes cifras a la cuenta del elegido, pero las primeras versiones del 'spam' no salieron de ese continente, sino - al menos en teoría - de tierras españolas. Llegaban en sobres lacrados y seguramente viajaban en diligencia, porque se remontan al siglo XIX. Lo llamaban por aquel entonces ‘fraude del prisionero español’.

Batallas y más batallas

Entre 1808 y 1814, la Guerra de la Independencia Española enfrentaba a nuestro país con la Francia napoleónica. Después vinieron las tres entregas de las Guerras Carlistas (1833-1840). Mientras los soldados de la península blandían sus espadas sin tregua, los timadores se dedicaban a sacar partido de la desgracia ajena. Escribían cartas fingiendo ser uno de los muchos encarcelados que pedían ayuda desde sus celdas a aquellos buenos señores extranjeros que quisieran librarles de su injusta condena.

Algunas pruebas del fraude en forma de epístolas pueden encontrarse en los Archivos Nacionales británicosArchivos Nacionales británicos. Durante décadas, las islas del norte de Europa fueron blanco de todos esos delincuentes del papel, que, como demuestran los documentos, muchas veces ni siquiera eran españoles. Incluso residían en el mismo estado que sus objetivos. Y, por si cabe alguna duda, las misivas están en un anticuado pero correctísimo inglés.

Carta de Luis Ramos, 1905 (Haz clic para ampliar)

Un ejemplo es la correspondencia intercambiada en 1905 por un tal Luis Ramos y Paul Webb, un tendero londinense. Con palabras rimbombantes y letra cursiva, Ramos explica en la primera de las cartas que es un preso político. Había sido secretario privado del general Martínez Campos durante la “última guerra cubana”. Después de que el mandatario fuera sustituido por Valeriano Weyler, se unió a la resistencia y huyó finalmente a Inglaterra con su patrimonio; según él, valorado en 37.000 libras.

La imaginación del presunto prisionero Ramos no acaba ahí. Cuando su esposa murió, decidió regresar a casa para cuidar de su pobre hija, Mary, no sin antes ingresar su dinero en un banco inglés (para aligerar los bolsillos durante el viaje). Lamentablemente, fue capturado en Barcelona y acabó entre rejas sin ver a su retoño. Y por si faltara drama en la historia, cayó enfermo de un mal que seguro le provocaría un “final breve y fatal”.

Toda la parafernalia terminaba con una petición mucho más concisa: suplicaba a Webb que le enviara una cifra suficiente para proteger a su hija y liberar su equipaje confiscado, donde guardaba secretamente el recibo del misterioso banco inglés. Comenzó entonces un baile de cartas.

El tendero escribió a Jean Richard, el presunto carcelero del remitente, para cerciorarse de la información, pero recibió a cambio otra misiva de Ramos haciendo hincapié en su inminente defunción y el miedo que sentía por Mary. Además, advertía a Webb que no debía de ninguna manera alertar a las autoridades españolas o inglesas. A esta siguieron otras cartas, en las que aseguraba sentir la muerte cerca y haber nombrado a Mary su única heredera, y a él, su guardián.

Esquela y certificado de fallecimiento (Haz clic para ampliar)

Como el tendero no contestaba, Richard (el carcelero ficticio) le comunicó un mes después que Ramos había muerto de hepatitis. Y dejaba todo bien atado: la misiva iba acompañada por un certificado de defunción, una esquela en la prensa y una copia del testamento del prisionero. Le pedía también 59 libras por el preciado equipaje. Sin embargo, Webb no cayó en la trampa y entregó la correspondencia a la policía.

Los despistes del farsante

Ramos continuó en su empeño con otras víctimas, aunque con meteduras de pata constantes. Escribió a William Topley, un empresario muerto. Mary Bates llevó una carta a Scotland Yard dirigida a su marido, que también había pasado a mejor vida. A Harry Robertson le cambió el orden de su nombre y apellidos por Robertson Harry.

Pero hubo quien se dejó engañar por el insistente prisionero español. Margaret McAllister le envió un cheque de 60 libras. George y Mary Sophia Vooght terminaron por mandar 115 libras a Álvaro de Guzmán, encarcelado en Murcia durante veinte años. Por supuesto, también tenía una hija desvalida a la que ayudar y proteger.

Muchos de los documentos acabaron en la embajada británica en Madrid y en manos de las autoridades españolas, que no podían hacer nada por los defraudados ni para encontrar a los defraudadores. Llegaron a la conclusión de que los timadores debían ser empleados de correos, porque interceptaban las cartas de sus víctimas antes de que llegaran a ninguna cárcel.

La prensa ibérica también reflejaba la tendencia, denominada en este caso “timo del entierro”. El delincuente prometía a su víctima un tesoro oculto bajo suelo, exigiendo a cambio una suma considerable para conseguir los planos del escondrijo. Sin embargo, parece ser que aquí ya estaba superado y nadie se dejaba seducir por la trama. Los incautos eran los extranjeros. Los prisioneros se transformaban en tesoreros militares que huían con los fondos, los escondían y justo después acababan en prisión.

En un periódico de 1987, los periodistas informan del descubrimiento de una guarida de timadores que actuaban como si regentaran un negocio completamente lícito. “Llevaban sus libros de cuentas y no dejaban de copiar una sola de las infinitas cartas que mandaban a distintas personas del extranjero, proponiéndoles un gran negocio”, señala el texto. Tenían además fotografías de “una niña muy mona”, que se suponía era la hija de un general, interna en un colegio de Badajoz. La única que podía acompañarles a desenterrar el botín. Pero antes había que sacarla de la institución, billete en mano.

Si estas primeras cartas falsas son las predecesoras del ‘spam’ moderno, uno de sus agravantes en Gran Bretaña puede considerarse el pasado de las redes sociales. La publicación ‘Who’s Who’ (‘Quién es quién’), editada anualmente desde 1897, es una especie de directorio donde figuran las biografías y datos personales de “todo el que es alguien” en el país. Una versión impresa de Facebook que todavía existe, ahora también ‘online’. Allí, los delincuentes encontraban a sus víctimas servidas en bandeja.

Entre los años 30 y 40, los remitentes eran también mejicanos: la policía londinense recogió varias misivas de un tal Vicente Olivier que intentaba sacarle los cuartos a la ‘crème’ de la ‘crème’ de la sociedad inglesa de la época.

Olivier se había modernizado. Ya no utilizaba una pluma para redactar los textos, sino una máquina de escribir. Además, gracias a la fuente inagotable de nombres y direcciones que le proporcionaba ‘Who’s Who’, no enviaba cartas a fallecidos. Ramos tuvo que basarse en esquelas e información que encontraba en la prensa.

Así, pasaron los años y los nombres: del timo del entierro al del prisionero, de las cartas a mano a las escritas a máquina, hasta la llegada del siglo XXI. Del triste reo se ha pasado a un nigeriano, un militar o una chica amistosa. De las máquinas de escribir a los ordenadores y de los buzones a las bandejas de entrada. El fraude nunca se destruye, solo se transforma. Al menos ahora tenemos filtros 'antispam'.

------------------------------------------------------------------------------

Las imágenes de este reportaje son propiedad, por orden de aparición, de Gajman, La Vanguardia, y Archivos Nacionales británicos

En una versión previa de este artículo, el siglo en que se produjeron los acontecimientos se consignaba de forma errónea en el titular y la entradilla. No se trata del S.XVIII, sino del XIX.