Este articulo compara las opciones de cifrado en Microsoft 365, incluido el Cifrado de mensajes de Microsoft Purview, S/MIME e Information Rights Management (IRM), y presenta la Seguridad de capa de transporte (TLS).
Microsoft 365 le ofrece varias opciones de cifrado para ayudar a satisfacer las necesidades que tiene su empresa para la seguridad del correo electrónico. Este artículo contiene tres formas de cifrar el correo electrónico en Office 365. Si quiere obtener más información acerca de todas las características de seguridad en Office 365, visite el Centro de confianza de Office 365. Este artículo presenta los tres tipos de cifrado disponibles para los administradores de Microsoft 365 con el propósito de ayudar a proteger el correo electrónico en Office 365:
Cifrado de mensajes de Microsoft Purview.
Extensiones seguras multipropósito al correo de Internet (S/MIME).
Information Rights Management (IRM).
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Cómo Microsoft 365 usa el cifrado de correo electrónico
El cifrado es el proceso por el que se codifica la información para que solo un destinatario autorizado pueda descodificar y consumir la información. Microsoft 365 usa el cifrado de dos maneras: en el servicio y como control de cliente. En el servicio, el cifrado se usa de manera predeterminada en Microsoft 365. no es necesario configurar nada. Por ejemplo, Microsoft 365 usa Seguridad de capa de transporte (TLS) para cifrar la conexión, o sesión, entre dos servidores.
Así es cómo funciona normalmente el cifrado de correo electrónico:
Un mensaje está cifrado, o se transforma de texto sin formato en texto cifrado ilegible, ya sea en el equipo del remitente, o mediante un servidor central mientras el mensaje está en tránsito.
El mensaje permanece como texto cifrado mientras está en tránsito para protegerlo y que no sea leído en caso de que se intercepte.
Cuando el destinatario recibe el mensaje, este se transforma nuevamente en texto sin formato legible de una de estas dos maneras:
El equipo del destinatario usa una clave para descifrar el mensaje, o
Un servidor central descifra el mensaje en nombre del destinatario, después de validar la identidad del destinatario.
Comparación de las opciones de cifrado de correo electrónico disponibles en Office 365
Tecnología de cifrado de correo electrónico
¿Qué es?
El cifrado de mensajes es un servicio basado en Azure Rights Management (Azure RMS) que le permite enviar correo electrónico cifrado a personas dentro o fuera de su organización, independientemente de la dirección de correo electrónico de destino (Gmail, Yahoo! Mail, Outlook.com, etc.). Como administrador, puede configurar reglas de transporte que definen las condiciones para el cifrado. Cuando un usuario envía un mensaje que coincide con una regla, se aplica automáticamente el cifrado. Para ver los mensajes cifrados, los destinatarios pueden obtener un código de acceso único, iniciar sesión con una cuenta de Microsoft, o iniciar sesión con una cuenta profesional o educativa asociada a Office 365. Los destinatarios también pueden enviar respuestas cifradas. No necesitan una suscripción de Microsoft 365 para ver los mensajes cifrados o enviar respuestas cifradas.
IRM es una solución de cifrado que también se aplica a las restricciones de uso para los mensajes de correo electrónico. Ayuda a evitar que personas no autorizadas impriman, reenvíen o copien información confidencial. Las capacidades IRM de Microsoft 365 usan Azure Rights Management (Azure RMS).
S/MIME es una solución de cifrado basada en certificados que permite cifrar y firmar digitalmente un mensaje. El cifrado de mensajes ayuda a garantizar que solo el destinatario pueda abrir y leer el mensaje. Una firma digital ayuda a que el destinatario valide la identidad del remitente. Las firmas digitales y el cifrado de mensajes son posibles gracias al uso exclusivo de certificados digitales que contienen las claves para comprobar las firmas digitales y cifrar o descifrar mensajes. Para usar S/MIME, debe tener las claves públicas en el archivo para cada destinatario. Los destinatarios deben conservar sus propias claves privadas, que deben permanecer protegidas. Si se ponen en peligro las claves privadas de un destinatario, el destinatario debe obtener una nueva clave privada y redistribuir las claves públicas a todos los remitentes potenciales.
¿Qué hace?
OME: Cifra los mensajes enviados a destinatarios internos o externos. Permite a los usuarios enviar mensajes cifrados a cualquier dirección de correo electrónico, incluidos Outlook.com, Yahoo! Mail y Gmail. Le permite, como administrador, personalizar el portal de visualización de correo electrónico para reflejar la marca de su organización. Microsoft administra y almacena de forma segura las claves, por lo que no es necesario que usted lo haga. No se necesita ningún software de cliente especial siempre y cuando el mensaje cifrado (enviado como datos adjuntos HTML) pueda abrirse en un explorador.
IRM: Usa cifrado y restricciones de uso para proporcionar protección en línea y sin conexión para los mensajes de correo electrónico y datos adjuntos. Ofrece, como administrador, la capacidad de configurar reglas de transporte o reglas de protección de Outlook para aplicar automáticamente IRM a mensajes seleccionados. Le permite a los usuarios aplicar plantillas manualmente en Outlook o en Outlook en la Web (anteriormente denominado Outlook Web App).
S/MIME aborda la autenticación de remitentes con firmas digitales y la confidencialidad de mensajes con cifrado.
¿Qué no hace?
OME no permite aplicar restricciones de uso a los mensajes. Por ejemplo, no se puede usar para impedir que un destinatario reenvíe o imprima un mensaje cifrado.
Algunas aplicaciones pueden no admitir los mensajes de correo electrónico de IRM en todos los dispositivos. Para obtener más información sobre estos y otros productos compatibles con el correo electrónico de IRM, vea Funciones del dispositivo de cliente.
S/MIME no permite analizar los mensajes cifrados en búsqueda de malware, correo no deseado o directivas.
Recomendaciones y escenarios de ejemplo
Se recomienda usar OME cuando desea enviar información empresarial confidencial a personas fuera de su organización, ya sean consumidores u otras empresas. Por ejemplo: Un empleado bancario que envía extractos de tarjeta de crédito a los clientes Un consultorio que envía registros médicos a un paciente Un abogado que envía información legal confidencial a otro abogado
Se recomienda usar IRM para aplicar restricciones de uso y también cifrado. Por ejemplo: Un administrador que envía detalles confidenciales a su equipo sobre un nuevo producto aplica la opción “No reenviar”. Un ejecutivo necesita compartir una propuesta de oferta con otra compañía, que incluye datos adjuntos de un socio que usa Office 365, y requieren que el correo electrónico y los datos adjuntos estén protegidos.
Se recomienda usar S/MIME cuando su organización o la organización del destinatario requieran un auténtico cifrado de punto a punto. Normalmente se usa S/MIME en los siguientes escenarios: Autoridades gubernamentales que se comunican con otras autoridades gubernamentales Una empresa que se comunica con una autoridad gubernamental
No aplique varias tecnologías de cifrado de correo electrónico al mismo mensaje de correo electrónico. Algunos clientes de correo electrónico, como Outlook para Mac, Outlook para iOS y Outlook para Android, no pueden abrir mensajes con varias tecnologías de cifrado de correo electrónico aplicadas.
¿Qué opciones de cifrado están disponibles para mi suscripción de Microsoft 365?
Para obtener más información sobre las opciones de cifrado de correo electrónico para su suscripción de Microsoft 365, vea la descripción del servicio Exchange Online. Aquí encontrará información sobre las siguientes características de cifrado:
Azure RMS, incluidas las funcionalidades de IRM y el Cifrado de mensajes de Microsoft Purview
S/MIME
TLS
Cifrado de datos en reposo (a través de BitLocker, cifrado de servicio y DKM)
También puede usar herramientas de cifrado de terceros con Microsoft 365, por ejemplo, PGP (Pretty Good Privacy). Microsoft 365 no admite PGP/MIME y solo se puede usar PGP/Inline para enviar y recibir correos electrónicos cifrados con PGP.
¿Qué sucede con el cifrado de datos en reposo?
El término "Datos en reposo" hace referencia a datos que no están activos en tránsito. En Microsoft 365, los datos de correo electrónico en reposo se cifran mediante el cifrado de unidad BitLocker. BitLocker cifra las unidades de disco duro de los centros de datos de Microsoft para proporcionar una protección mejorada contra el acceso no autorizado. Para obtener más información,consulte Información general de BitLocker.
Más información sobre opciones de cifrado de correo electrónico
Para obtener más información sobre las opciones de cifrado de correo electrónico en este artículo, así como TLS, consulte los siguientes artículos:
This module introduces Microsoft Purview Message Encryption, an online service that’s built on Microsoft Azure Rights Management and includes encryption, identity, and authorization policies to help organizations secure their email. MS-102
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.