El futuro del email

 (fastmail.com)
1 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • En un entorno donde la IA lee la bandeja de entrada, resume mensajes e incluso realiza tareas, la verificación del remitente se vuelve una condición clave para la confianza en el email
  • SPF, DKIM y DMARC conforman la estructura básica de la autenticación de correo electrónico al combinar autorización del servidor, integridad del mensaje y políticas de manejo en caso de fallo
  • A medida que los filtros de IA y las herramientas de asistencia con IA se convierten en funciones estándar de la experiencia de email, los resultados de autenticación pasan a ser una señal importante para detectar spam, phishing y ejecutar acciones automáticas
  • Después de que Google y Yahoo empezaran a exigir configuración de DMARC a remitentes masivos a inicios de 2024, la infraestructura de autenticación se volvió un requisito básico para una entrega confiable
  • La autenticación confirma la identidad del dominio, pero no garantiza la intención, y en un entorno de email automatizado cumple la función de elevar el costo y la complejidad de la suplantación

Autenticación de email: la capa de confianza de la que depende el futuro del correo electrónico

  • Durante mucho tiempo, el email ha cargado con el problema del spoofing, ya que cualquiera podía poner lo que quisiera en el campo “From” de un mensaje
  • En el pasado, un usuario atento podía detectar señales como nombres de dominio apenas distintos, urgencia poco realista o redacción extraña
  • A medida que el uso de IA se generaliza, cambia la manera en que los usuarios tratan el email, y pasa a ser más importante poder verificar realmente el origen que simplemente saber si el mensaje llegó
  • Estándares en los que la mayoría de los usuarios nunca tuvo que pensar se están convirtiendo silenciosamente en la base de la experiencia de email

Qué es la autenticación de email

  • La autenticación de email se compone de tres estándares interrelacionados: SPF, DKIM y DMARC
  • SPF verifica si el servidor que envió el mensaje tiene autorización para enviar en nombre de ese dominio
  • DKIM adjunta una firma criptográfica a cada mensaje para que el servidor receptor pueda comprobar si fue modificado durante el tránsito
  • DMARC vincula SPF y DKIM, y le indica al servidor receptor si debe rechazar, poner en cuarentena o aceptar los mensajes que no superen la verificación
  • Estos tres estándares permiten que la bandeja de entrada determine si un mensaje que parece venir de un banco o de un empleador realmente proviene de ese dominio
  • Sin autenticación, no es posible distinguir entre mensajes falsificados y mensajes legítimos, y este problema se agrava a medida que cambia la forma de interactuar con el email

Cómo interviene la IA en el email

  • Dos tipos de IA se están consolidando como funciones estándar dentro de la experiencia de email
  • El primero es el filtrado con IA, que determina qué es spam, phishing o un mensaje importante
    • Estos sistemas existen desde hace años, pero las versiones actuales son mucho más potentes
    • Los resultados de autenticación se están convirtiendo cada vez más en una entrada clave para que los filtros con IA tomen decisiones
  • El segundo son las herramientas de asistencia con IA que resumen la bandeja de entrada, destacan tareas pendientes, redactan respuestas y, en algunos casos, actúan en nombre del usuario
  • Fastmail no ha integrado IA en la bandeja de entrada, y los correos de los usuarios no se procesan con modelos en segundo plano
    • El servidor MCP es un endpoint de API que puede conectarse con clientes de IA seleccionados cuando el usuario lo aprueba explícitamente
    • Si el usuario no lo conecta, no cambia nada
  • En el ecosistema más amplio del email, las herramientas de asistencia con IA que actúan de manera autónoma desde la bandeja de entrada son cada vez más comunes
  • Cuando una persona lee un email sospechoso, puede notar que el dominio del remitente tiene caracteres adicionales o que la solicitud suena rara
  • Una herramienta de asistencia con IA puede leer el contenido y la urgencia para identificar elementos que requieren acción y actuar en consecuencia
  • Si un mensaje de spoofing es lo suficientemente convincente, la autenticación debería detenerlo antes de que llegue a la bandeja de entrada

La autenticación se está convirtiendo en infraestructura

  • Google y Yahoo comenzaron a exigir a inicios de 2024 que los remitentes masivos configuren correctamente DMARC para poder entregar emails de forma confiable
  • Con este cambio, la autenticación dejó de ser algo que los remitentes podían relegar a baja prioridad y pasó a ser una condición básica para llegar a la bandeja de entrada
  • La autenticación de email va por una ruta parecida a la que siguió HTTPS en la web
    • HTTPS pasó de ser una buena práctica a una expectativa, y luego a infraestructura
    • Aunque la gente no sepa exactamente qué significa el candado en la barra del navegador, su ausencia en un sitio web se convierte en una señal de advertencia imposible de ignorar
  • Nuevos estándares se están construyendo sobre esta base de autenticación
  • BIMI permite que remitentes verificados muestren directamente sus logos en bandejas de entrada compatibles
    • Se convierte en una pequeña señal visual de confianza en un momento en que detectar phishing generado por IA solo por el contenido es cada vez más difícil
  • El diseño de DKIM se está reevaluando a partir de las lecciones obtenidas de la especificación experimental ARC
    • Esto permite rastrear y atribuir cambios en flujos de correo complejos para que los sistemas de filtrado puedan identificar el origen de contenido malicioso
    • También ayuda a evitar que se dañe la reputación de la entidad equivocada

La autenticación por sí sola no basta

  • La autenticación confirma la identidad del dominio, pero no verifica la intención
  • Un estafador con un dominio muy parecido y un registro DMARC correctamente configurado puede superar las verificaciones de autenticación del remitente
  • La autenticación eleva de forma significativa el costo y la complejidad de la suplantación, y eso se vuelve más importante cuanto más automatizado sea el futuro del email
  • La bandeja de entrada del futuro será más rápida, más inteligente y tendrá más capacidades que la que usa hoy la mayoría de las personas
  • La autenticación es lo que hace que ese futuro no solo sea conveniente, sino también confiable
  • Los estándares han madurado durante años, y conforme el email se automatiza más, será necesario seguir construyendo sobre esa base

El email no va a desaparecer

  • Todo el mundo necesita email: los bancos envían estados de cuenta, los médicos envían información de citas y otros sitios mandan restablecimientos de contraseña
  • Todo el mundo tiene email
  • El mejor indicador de la longevidad de una tecnología es cuánto tiempo ya ha existido, y el email ha existido durante mucho tiempo
  • Fastmail está a la vanguardia del desarrollo de estándares que sostendrán el email del futuro, y seguirá evolucionando junto con el correo electrónico para construir una mejor experiencia para todos

Lecturas relacionadas

1 comentarios

 
GN⁺ 3 시간 전
Comentarios de Hacker News

  • Es difícil juzgar cuánto ayudaría esto en la práctica, pero sí me parece bien que el correo electrónico se vuelva más seguro y así las organizaciones, sobre todo bancos, gobiernos y aseguradoras, dejen de crear alternativas como buzones cerrados de mensajería segura
    Te dicen “inicia sesión en el centro de mensajes seguros”, y ahí solo puedes ver por poco tiempo mensajes mal formateados que luego se eliminan permanentemente
    Mi bandeja de entrada es, hasta cierto punto, un registro de mi vida en el que se puede buscar, y esas alternativas rompen eso

    • Esos “centros de mensajes” existen no solo por seguridad, sino también por cumplimiento normativo
      Por ejemplo, las aseguradoras tienen que cumplir con HIPAA, y la información relacionada con la salud solo puede enviarse a otros sistemas que también cumplan con HIPAA
      Para eso hay que firmar con ese sistema un contrato llamado BAA, algo que con el correo electrónico no es realista
      Una aseguradora no puede firmar contratos con todos los hosts de correo del mundo, ni tampoco saber a dónde terminará llegando finalmente un mensaje después de enviarlo
      Además, es muy difícil separar con precisión los correos que contienen información de salud de los que no; incluso un nombre de persona o una dirección IP pueden entrar en esa categoría según el contexto
      Por eso simplemente se adopta como opción predeterminada enviar todo al centro de mensajes, y por más que mejore la seguridad del correo, esta parte difícilmente va a cambiar
    • Para que el correo sea seguro, creo que habría que quitarle al email el soporte de HTML/CSS, y la bandeja de entrada tendría que funcionar por invitación
      Debería ser un sistema donde apruebas previamente a los remitentes, como cuando agregas amigos en una red social
    • Esas plataformas de mensajería segura hacen que los respaldos sean casi imposibles
      Incluso he visto clínicas médicas borrar mensajes que podían perjudicarlas en un juicio
      Por eso, a quienes me mandan cosas por ahí les digo que me las envíen por correo real
    • Mi banco manda una notificación push que dice “inicia sesión en la app para leer un mensaje importante”, pero casi siempre es algo como el estado de cuenta mensual
      Y además mandan un correo aparte, así que a veces vuelvo a iniciar sesión pensando que es otro mensaje distinto
      También hay un botón de “descargar este mensaje como PDF”, pero en realidad solo te lleva a un envoltorio de navegador web
    • Hace poco pedí información a un banco y me dijeron que no podían enviármela por correo electrónico, pero sí por correo postal
      Dijeron que llegaría la próxima semana
      Seguro hay varias razones de cumplimiento detrás de eso, pero me parece totalmente absurdo

  • Iba leyendo el artículo y me sorprendió llegar al final. Todo se sentía como la introducción a un anuncio o a algo nuevo, pero al final no salió nada
    Puede que yo sea lento, pero por eso no entendí cuál era la conclusión principal

    • Como usuario de Fastmail, casi me alegra que no haya habido ningún anuncio
      Cada vez que una empresa empieza a hablar de un futuro brillante, normalmente significa que mi experiencia de usuario pronto va a empeorar
    • Vi “el futuro del correo según Fastmail” y de inmediato esperé un gran anuncio
      En realidad era “ahora hay que pasar DMARC”, pero eso ya era cierto desde hace 2 años
      También es cierto que la autenticación ayuda a frenar dominios falsificados, pero no creo que ese sea el problema más grande
      Los atacantes encuentran formas de hacer que plataformas de pagos como PayPal o Stripe envíen correos
      Luego averiguan qué información aparece en esos correos generados y configuran el nombre de la empresa con algo como “hay un problema, llame a este número”
      Entonces ese nombre de empresa aparece en el asunto o en el cuerpo de un correo legítimo enviado realmente por PayPal, que pasa todas las verificaciones y parece urgente
      Como esos correos salen de una empresa real y pasan toda la autenticación, DMARC no puede detenerlos, y últimamente he visto que justo así es como se están moviendo los atacantes
      De verdad esperaba que Fastmail presentara algo para abordar este problema
    • “La bandeja de entrada del futuro será más rápida, más inteligente y capaz de hacer más cosas que la que la mayoría usa hoy”
      En resumen, eso sería todo. La idea es que el correo será más rápido e inteligente, aunque no está claro cómo se llega ahí
    • A mí me pasó algo parecido. Me quedé esperando que apareciera algo decisivo y al final fue solo “el correo no va a desaparecer”
      Sinceramente, me pregunto por qué publicaron este artículo y por qué recibió tantos votos

  • Me gusta Fastmail. Me cambié desde Proton hace unos años porque decidí que las concesiones del correo cifrado no valían tanto la pena
    Aunque confíes plenamente en Proton, la mayoría de los correos igual terminan pasando por AWS, Outlook, Gmail
    Estoy muy satisfecho con el servicio de Fastmail. Tiene un precio razonable, es muy rápido incluso con bandejas de entrada grandes y no le agregan funciones innecesarias ni lo vuelven pesado
    Originalmente pensaba usar la app de correo predeterminada del sistema operativo, pero la app y el sitio web de Fastmail me gustaron tanto que terminé usando solo eso

    • Llevo más de 9 años usando Fastmail. Sobre todo desde que le añadieron soporte offline, ya no tengo ninguna razón para irme
    • Me da curiosidad saber cuáles fueron esas concesiones en Proton
    • La app de escritorio de Fastmail es literalmente el sitio web envuelto como aplicación, y la función extra que le agregaron fue nada menos que no tener botón de retroceso
      Treinta años de memoria muscular acumulada usando webmail quedaron inutilizados por culpa de esta “app”
      Parece que algún desarrollador web quiso jugar a ser desarrollador de apps de escritorio
      Y no fue un accidente: según dicen, fue una decisión deliberada no incluir el atajo de teclado para volver a la página anterior
      El personal de soporte dijo que lo añadiría como “solicitud de función”

  • En la práctica, estamos tercerizando el juicio sobre el correo al AI, mientras intentamos compensarlo reforzando SPF/DKIM
    Es como hacer la cerradura más fuerte mientras repartes más copias de la llave maestra

    • Creo que en esta área están ocurriendo varias cosas al mismo tiempo. Fastmail simplemente expresó una de ellas de una manera que le conviene
      No se puede hablar como si Fastmail tuviera autoridad absoluta sobre el correo electrónico
      Porque Fastmail no es el correo electrónico en sí, sino un servicio que depende de él

  • Hasta que podamos mover nuestra bandeja de entrada y enrutarla al proveedor que queramos, este tipo de sistemas de autenticación parece difícil que tenga valor real a gran escala
    Si en teoría se puede portar un número de teléfono, también debería poderse portar una dirección de correo
    Los sistemas de autenticación mencionados aquí no ayudan lo suficiente como para hacer posible esa portabilidad
    Hace falta una forma válida de autenticar a la persona en sí, no al nombre de dominio del correo, sin importar qué proveedor use
    En otras palabras, tendría que evolucionar un estándar que permita firmar en nombre del propio proveedor de hosting

  • No tiene sentido que incluso en 2026 la firma y el cifrado del correo electrónico no sean lo predeterminado
    Pero mientras el modelo de negocio de los grandes proveedores de correo dependa de que no usemos eso, probablemente seguirá así

    • Si el correo se cifra, ese modelo literalmente no puede funcionar
      Para que la bandeja de entrada sea realmente usable, tiene que correr todo el procesamiento de machine learning, y para eso el correo no debe estar cifrado
    • Los grandes proveedores no quieren eso
      Si no fuera así, a Microsoft le habría resultado mucho más difícil compartir datos de Outlook con 1000 socios
    • Impulsar el cifrado del correo en 2026 se parece más a una señal de que se priorizan los requisitos de checklist por encima de las prácticas reales de seguridad
      El correo cifrado suena bien, pero si se analizan las amenazas reales, no hay mucho que proteja frente al estado actual y se pierden muchas funciones
      Desde la premisa básica, el correo ya está cifrado desde mi computadora hasta mi servidor de correo, de mi servidor de correo al servidor del destinatario, y del servidor del destinatario a la computadora del destinatario
      Las únicas entidades que pueden verlo aparte de mí y del destinatario son los servidores de correo intermedios, y lo mejor que se puede conseguir con correo cifrado es excluir a algunas de las entidades que cumplen un papel clave en ese proceso
      En particular, los encabezados del correo siguen siendo públicos, así que incluso en el mejor de los casos no se convierte en una comunicación muy privada
      En cambio, el correo cifrado rompe procesos como el filtrado del lado del servidor. Lo mismo pasa con el spam, y especialmente si se piensa en la enorme cantidad de spam que ni siquiera llega a la carpeta de spam, no hay una solución práctica
      Los usuarios esperan poder iniciar sesión en el webmail y leer de inmediato sus correos, y el webmail es el cliente de correo dominante
      Si para resolver eso se le entregan las claves al servidor, el servidor vuelve a convertirse en una entidad capaz de leer el correo y ya no habría diferencia con la situación actual
      El problema mayor es la distribución de claves. Para enviar un correo, hay que encontrar la clave del destinatario, y a gran escala la forma más práctica es preguntarle al servidor de correo por la clave pública del usuario
      Pero ese servidor es la única entidad capaz de interceptar todos los mensajes dirigidos a ese usuario, así que podría entregar su propia clave, quitar el cifrado y volver a cifrar para el usuario sin que sea fácil detectarlo
      Alternativas como los servidores de claves de PGP tampoco funcionan. Incluso en la época en que no llegaban al millón los usuarios interesados en cifrado PGP, el ecosistema de servidores de claves PGP colapsó hace años, y no tiene comparación con una escala de miles de millones de usuarios de correo
      El correo cifrado me parece más un sueño poco realizable, no por el modelo de negocio de las empresas de correo, sino porque la arquitectura del correo ya ofrece una seguridad suficientemente aceptable y es muy difícil aprovechar beneficios adicionales del cifrado
    • El nuevo email no será email, sino algo más cercano a Matrix o, si se acepta la centralización, a Signal
      Tendría que ser un sistema con buena experiencia de usuario y cifrado excelente

  • En el texto se menciona la fallida propuesta ARC, que intentaba evitar que DKIM se rompiera durante la retransmisión del correo
    https://www.ietf.org/archive/id/draft-adams-arc-experiment-c...
    Sería interesante ver si se puede convencer a Google de abandonar ARC y pasar a otro enfoque
    Hoy en día Gmail le da muchísima importancia a la reputación del servidor de correo, así que puede tratar de forma consistentemente desfavorable a los servidores que no le gustan

  • “La segunda es el soporte de IA. Herramientas que resumen la bandeja de entrada, destacan acciones a tomar, redactan respuestas y, en algunos casos, actúan en nombre del usuario”
    Esta parte es la más perversa. Al final, bots hablando con bots y los humanos quedan fuera
    Todos los problemas del correo pueden resolverse con GPG, pero entonces se arruinaría el negocio de servicios de correo como Fastmail
    Porque no podrían leer ni analizar el correo de los usuarios, ni mostrar publicidad, ni vender perfiles de usuario a empresas publicitarias, ni entrenar IA con datos de usuario
    Ese es el futuro del correo que me gustaría ver. Lamentablemente, nadie usa GPG y además es bastante difícil enseñárselo a la gente

    • Al final nos van a empujar por este camino, así que basta con tener paciencia
      La única forma de demostrar que una comunicación es real será hacer intercambio de claves previamente en persona
      GPG es solo un camino entre varios, y alguien encontrará una forma de hacerlo fácil a nivel organizacional
    • ¿Fastmail lee o analiza el correo de los usuarios para vender publicidad? ¿Fastmail entrena modelos de IA con el correo de los usuarios?
      Para el análisis, el metadata vale más que el contenido del mensaje. ¿Cómo resuelve eso GPG?

  • Esperaba que este artículo tratara de JMAP

    • Gracias a este artículo conocí SPF, DKIM y DMARC, y me parecieron mejoras técnicas bastante buenas
      No es cifrado del cuerpo del mensaje, pero muestra que todavía hay margen de mejora incluso en el entorno básico del correo
    • No sabía qué era JMAP, pero después de buscarlo terminé estando de acuerdo

  • Es frustrante no poder enviar correo desde un proyecto hobby aunque cumplas todas las reglas y pongas los encabezados correctos
    El artículo de jeremyevans sobre hospedar tu propio correo fue una lectura interesante, pero solo trata de la recepción y no del envío
    https://code.jeremyevans.net/2021-07-29-running-my-own-email...