CONTRAMEDIDAS PARA ATAQUES EXTERNOS

Vivimos en una era de la información que atraviesa un momento oscuro, plagado de no se sabe cuántos peligros procedentes de virus, troyanos, ataques procedentes de hackers, lamers maliciosos que intentan controlar nuestras máquinas, programas espía controlados por nuestra empresa para controlar las actividades personales, monitorización por parte de organismos que se erigen a sí mismos como la policía de la Red... Y ante todo ello, el internauta se encuentra indefenso, sin saber cómo reaccionar ante tanto ataque procedente del exterior.

Texto: Carlos Mesa


Quien no quiera ver o admitir la peligrosidad del momento en el que vivimos, en cuanto al flujo de información que circula por Internet, o es que es ciego o es que peca de tonto. Por propia experiencia, hemos oído historias de virus, macros que llegan en el correo electrónico dispuestas a borrar el contenido del disco duro y enviarle el mismo “regalo” a otros amigos, troyanos de hackers que quieren colarse en nuestro ordenador, lamers ineptos que por hacer la gracia se cuelan en los servidores de Internet dejando su impronta... Algunos, incluso, han tenido la ocasión de experimentar alguna de estas desgracias en sus carnes. Pero es que el peligro ya no viene únicamente de aquí. De un tiempo a esta parte nuevos riesgos se han añadido a los anteriores, más devastadores si cabe.

El gobierno de los Estados Unidos, amparándose en los efectos del desdichado atentado de las torres gemelas, y bajo un acuerdo tácito con AOL y Microsoft, colocó su rastreador “Carnivore” en los servidores de correo de AOL y Hotmail. Un programa que, bajo el pretexto de detectar los mensajes que contengan palabras como “árabe” o “terrorista”, captura todos las misivas electrónicas. No contentos con esta vulnerabilidad de la intimidad de las personas, el resto de países del mundo les imita la idea. En nuestro país, sin ir más lejos, existe una unidad de policía especializada en delitos informáticos, el grupo UDYCO. Y aunque muchos de nosotros ni siquiera lo imaginamos, estamos controlados por ellos. Aquellos internautas que cuentan con páginas personales con cracks, MP3 o fotografías eróticas, están siendo investigados y se les abre ficha policial para cuando la cosa vaya a más y reciban una orden de un juez. Por esta regla de tres, tienen el beneplácito de algunos proveedores de servicios, para filtrar los correos electrónicos de posibles sospechosos y analizar sus contenidos.


El peor caso lo representan algunas de las empresas para las que trabajamos, sobre todo, aquellas que tienen que ver con informática o Internet. Saltándose cualquier ley al respecto y a pesar de que la legislación es tajante en ese aspecto, controlan a sus empleados a base de programas espía, “sniffers” en el argot anglosajón, sin consentimiento expreso de ninguna parte. El espionaje con cámaras o la apertura de correo está penado con cuatro años de cárcel, pero como nunca se ha sentado jurisprudencia en España, se saltan a la torera cualquier código por el forro de la gaita.

Da miedo, pero más miedo da la ignorancia. Muchos internautas creen que estas películas no van con ellos. Lo ven de lejos porque todavía ven en la Red algo anárquico, supuestamente difícil de controlar. Compadezco a quienes todavía piensen así, ya que ellos serán las futuras víctimas de todos los desaprensivos que pueblan el ciberespacio.


Prevenciones básicas

La primera medida de profilaxis está en el correo electrónico. Se puede dar el caso de que se esté siendo rastreado por el grupo de la policía UDYCO, o si uno se sitúa en el entorno laboral, por la propia gerencia; o algo que ya resulta una práctica habitual, infectarse de un virus como Sircam o recibir cientos de mensajes de alguien que intenta colapsar en nuestro ordenador.


Ante esta situación, muchos optan por usar un programa de correo como Eudora, en lugar de hacerlo con Outlook. Eudora utiliza la vista previa en modo texto, evitando con ello una infección por virus de macro. Si uno no quiere desprenderse de Outlook se puede utilizar un programa como Spamkiller, que ayuda muchísimo al primero.

Spamkiller se instala como cualquier programa de correo electrónico, mediante un asistente que pide parámetros como el servidor de correo saliente, el entrante, y demás; vamos, aquellos datos proporcionados por el proveedor de servicios (ISP). Una vez en el disco duro, actúa como barrera para Outlook. De modo que cuando llega un mensaje, pasa por Spamkiller primero y no lo traspasa a Outlook hasta haberlo analizado. Si el mensaje es correcto, lo transmite, y si no, suena un disparo, y éste es lanzado a la papelera del programa. De origen viene con filtros que no admiten asuntos de mensaje como “adultos”, “credit card”, “gana más dinero”, “gratis”, “viagra”, “banners”, y otros engaños. Si un amigo no pasa el filtro, lo veremos en la lista de mensajes asesinados, pero podremos sumarlo luego a nuestra lista de amigos para que, en posteriores ocasiones, no suceda lo mismo. Cómo no, todos los mensajes pueden ser visionados antes de pasarlos a Outlook en modo texto, evitando sustos innecesarios. Por último, puede remitir mensajes preparados como “El recipiente no existe” o “Esta cuenta de correo no existe en el servidor”, en inglés para más detalle, haciéndole creer al remitente que la dirección no es válida. Muy útil para que nos borren de listas de correo basura (“spam”).


Contra las miradas indiscretas del correo electrónico no hay nada mejor que la encriptación. La utilidad por excelencia es PGP. Pero antes de mencionar su uso, hay que saber el porqué tiene uno que obsesionarse. Conviene saber que cualquier mensaje que se deje en Internet queda almacenado con un nombre y dirección, lo que lo relaciona directamente contigo.

El primero en destapar el escándalo de la interceptación de mensajes electrónicos ha sido Echelon, también conocido por “Carnivore”, un software usado ahora por el FBI y la CIA para capturar todos los mensajes dirigidos a Estados Unidos que contengan palabras sospechosas de albergar alguna forma de terrorismo. Posteriormente, Europa reconoció contar con un programa parecido.

En España, previo a la entrada de la polémica ley LSSI, la ya mentada UDYCO combate lo que ellos llaman el crimen organizado por Internet, con la ayuda de sniffers que interceptan correos o con el beneplácito de un proveedor de servicios, si consiguen la orden firmada de un juez. Lo peor de todo es la extralimitación de las funciones, y considerar a cualquier hijo de vecino que tenga una página web personal como sospechoso de colgar pornografía y, por tanto, listo para abrirle un expediente en sus bases de datos.

Internet se ha convertido en un peligro, donde la intimidad es vulnerada una y otra vez, a sabiendas de lo que ocurre. Por hablar sobre ello, si una persona, sea quien sea, interviene el correo electrónico de otro, está cometiendo un delito previsto y penado en el artículo 197 del Código Penal. Se llama delito contra la intimidad.

El artículo 197 del Código Penal, tan invocado frente a hackers, protege la intimidad (sin excepción alguna), estableciendo penas de hasta cuatro años de cárcel para aquellos que, para descubrir los secretos o vulnerar la intimidad de otros, sin su consentimiento, se apoderen de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepten sus telecomunicaciones o utilicen artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación. Un enunciado de lo más exhaustivo, y que no prevé excepción alguna. Sin embargo, como en el Estado español no hay jurisprudencia alguna, o precedente legal, muchos se saltan la ley a la torera, incluyendo los organismos mencionados.

Ante este acuciante problema, la única solución es el cifrado y la firma electrónica. El primero se solventa con la ayuda de PGP, un programa que encripta el texto de un e-mail y envía un batiburrillo de texto ilegible que sólo podrá ser desencriptado por el destinatario.


El segundo problema, las firmas electrónicas, viene derivado de la facilidad con que un internauta falsifica el origen de un e-mail. En Outlook Express con acceder a las propiedades de una cuenta de correo se puede cambiar la dirección electrónica por una inventada. El receptor recibe un mensaje de quien se haya indicado como e-mail improvisado. Una firma digital asegura al destinatario que es él quien envía realmente el mensaje y que el mensaje no ha sido alterado durante el trayecto. ¿Por qué? Porque instala un certificado que sólo lo puede tener él y que se anexa como archivo que especifica al receptor una firma electrónica, asegurando su fiabilidad y su verdadera procedencia.

Volverse paranoico


Tornarse un maniático de la seguridad no es nada descabellado con los tiempos que nos han tocado vivir. Cabe recordar que cualquier cosa que se diga por Internet queda almacenada, con nuestro nombre y dirección, lo que relaciona datos con nuestra propia existencia. Correos, compras electrónicas, visitas a sitios web... todo queda registrado.

De propia experiencia puedo narrar cómo el banco hace poco me telefoneó para sustituir mi tarjeta de crédito por una nueva, después de que el número de la misma se utilizara para fines fraudulentos. ¿Cómo pudo suceder algo así? Hay varias causas posibles. Una puede deberse a que al usar un módem ADSL para navegar, configurado en modo monopuesto (como viene entregado por Telefónica), quedase expuesto a ataques externos. En monopuesto, el firewall o cortafuegos no existe. El otro origen puede deberse por el uso de algún enmascarador del navegador. En el mercado hay varios, entre los que destaca Bravo, Vantage, o Kalgan, todo ellos en castellano. Vantage es peligroso por cuanto obliga al internauta a registrarse; así, cada vez que el usuario utiliza Vantage debe introducir su nombre y contraseña. En ese momento, los propietarios de esa versión de Vantage ya saben quién está conectado a la Red. Ello sirve para el propósito de saber cuánto tiempo permanece el usuario conectado a Internet, qué sitios visita con más frecuencia y qué tipo de compras realiza. En principio, Vantage rastrea y toma nota de la navegación del usuario sólo para enviarle publicidad selectiva, pero quién sabe. Lo peor es que algunas editoriales, de las mal consideradas serias, incluyen una versión de Vantage con un skin personalizado y propio en sus CD-ROM, como es el caso de iWorld o PCWorld.


Una última amenaza la provocan los sitios que introducen cookies en nuestro ordenador y luego remiten información a agencias de publicidad para inundarnos luego con “spam”. Algunos lo hacen más descarado todavía, como sucede con CometCursor, un programa que promete sustituir el cursor por alguna animación de nuestra preferencia, pero que en realidad transfiere información de los sitios que se visita gracias a la ayuda del dudoso cursor.

Comenzando por el primer caso, conviene tener instalado un firewall o cortafuegos, un programa que bloquea al sistema de intrusos indeseados. En el ciberespacio hay varios cortafuegos muy populares. Entre los deseados está Norton Personal Firewall, Sygate Personal Firewall, Zone Alarm y eSafe Desktop. Los tres últimos son gratuitos. Como recomendables, Sygate Personal Firewall, además de sus típicas funciones, te hace invisible de cara a una red local e Internet, muy adecuado para aquellos jefes que espían a sus empleados. eSafe Desktop, de Aladdin, además de cortafuegos y analizador de puertos contraproducentes, añade permisos de escritura o lectura a ficheros y archivos, y es un excelente antivirus. Todos ellos quedan residentes y avisan ante un ataque.


La intimidación que provocan navegadores como los mencionados se evita, simplemente, con no instalarlos. Si el navegador, por defecto, es Internet Explorer, conviene contar con su última revisión, la 5.5 con el parche SP2 o Internet Explorer 6.0. La última versión del Explorer de Microsoft deshabilita las cookies y es el más apropiado para protegerse de virus tan destructivos como Nimda, que contagian al ordenador con sólo visitar una página web cuyo servidor esté contaminado.

Defenderse de intrusos que reenvían los datos captados por las cookies en nuestro ordenador se consigue con utilidades especializadas al efecto. Hay una herramienta llamada Ad-Search que enlaza con una base de datos que permite conocer al instante si un programa freeware que queremos descargarnos es tal o incluye algún elemento de espionaje.


Ad-aware rastrea nuestro ordenador en busca de ficheros espía, borrándolos cuando los encuentra. En concreto los ficheros que elimina provienen de agencias de publicidad y empresas que recogen datos directamente de las cookies, como Aureate/Radiate, CometCursor, Cydoor, Conducent/Timesink, Flysway, Gator, Web3000, Webhancer, DSSAgent, y Alexa.

Al principio de este artículo se mencionó cómo algunos jefes están cogiendo la costumbre de controlar a sus empleados. Hay un programa que está causando revuelo entre la comunidad cibernauta, se llama Spector, y una vez instalado en un ordenador, realiza capturas periódicas de lo que está haciendo el usuario. Peor aún es Appstraka, que monitoriza la actividad del usuario del ordenador que lo tenga instalado, los sitios web visitados, los programas abiertos ¡y hasta el texto tecleado! La polémica viene servida por cuanto al empleado no se le da ni la más mínima oportunidad para consultar su webmail o consultar con su banco electrónico; recuérdese que se ha mencionado que captura el texto tecleado (contraseñas también) y el jefe puede ver, sin ningún tapujo, los correos personales.

Contra esta actividad sólo cabe detener el programa momentáneamente o enfrentarse a la dirección de la empresa y desinstalarlo por infringir el famoso artículo 197 del Código Penal. Si se quiere pasar desapercibido conviene instalar una contramedida, Activity Monitor, utilidad capaz de desactivar los procesos del programa espía, reanudándolos cuando se decida.

Si lo que se pretende evitar es que el jefe o el responsable del departamento de informática sepa cuáles son las direcciones que estamos visitando, Anonymizer es la mejor solución. Por 49,96 dólares al año, se entrega un pluggin, que se solapa a Internet Explorer o Netscape, evitando el rastreo de programas espía, ocultando la IP propia para una total navegación anónima, neutralizando controles ActiveX, o Java potencialmente peligroso, y salvando las cookies en modo seguro para que otros no se las puedan llevar. Todo un lujo en estos tiempos. Por si supiera poco, con la contraseña que nos suministran se puede acceder a una página web desde la que es posible enviar correos electrónicos, totalmente anónimos, que ocultan el origen del mensaje.

Copias de seguridad

Lo de las copias de seguridad es algo que siempre se menciona, pero que nadie se toma en serio hasta que el mal está hecho. La mayor parte de las veces el ordenador se formatea, ya sea por los destrozos provocados por un virus o por las gracias de alguno de los troyanos colocados por un hacker malicioso.


Y si creemos haberlo visto todo en ataques informáticos es que vamos vendidos. El que esto escribe ha visto los primeros ensayos de ataques que manipulan picos de corriente hacia direcciones IP. Es decir que conociendo una dirección IP, la casa en Internet de un usuario, por así decirlo, se le podrán enviar sobrecargas de corriente que al acceder al interior del ordenador destrozarían el disco duro. La única forma de evitar esto es interponer un SAI -un sistema de alimentación interrumpida-, entre el ordenador y la toma de corriente. El SAI actúa como batería ante la falta de suministro eléctrico, pero también compensa las descargas de sobrealimentación. Además, la toma del teléfono también se conecta al SAI y luego al módem, interfiriendo ante picos de tensión. Mustek (www.mustek-europe.com) y APC (www.apc.com/es) comercializan aparatos muy económicos, que no sobrepasan las 20.000 pesetas, si se tiene en cuenta que para un ordenador mediano, con monitor incluido, no harán falta más de 600 watios.

Al margen de este elemento de seguridad debería procederse, cuando menos, a realizar copias de seguridad de los mensajes de las carpetas de Outlook (bandeja de entrada, de salida, enviados, agenda y demás). Express Assist 2000 realiza estas copias, cada dos días; de modo que si desapareciera el programa de correo electrónico, siempre se podría volver a recuperar todos estos datos. El proceso de copia no lleva más de un minuto. Otro programa de idénticas características, Outlook Express Backup, hace lo mismo, sumando a ello una copia de la Libreta de direcciones y otra de los favoritos del navegador.

Mucho mejor que Windows 98 o ME es, sin duda, Windows 2000. La versión Workstation está pensada para usuarios y conlleva características de seguridad y red que los otros Windows no incorporan. Si muchos no lo instalan es porque piensan, erróneamente, que sus videojuegos favoritos dejarán de funcionar. Sin embargo, Windows 2000 soporta de forma impecable DirectX.

Si se menciona Windows 2000 es porque dispone de una función muy buena para establecer copias de seguridad de forma transparente. Se llama nivel de RAID 1, o disco reflejado. El “mirroring”, como se conoce en inglés, configura dos volúmenes de manera idéntica. Para ello habrá que contar con dos discos duros de capacidades similares. Una vez establecido el espejo, los datos que se vayan grabando cada día se escriben en ambas unidades de forma transparente. Así, si uno falla no hay pérdidas de datos, porque la otra unidad contiene los mismos datos. La tolerancia a errores es magnífica, ya que el usuario no tiene que hacer nada. Los volúmenes RAID ya no trabajan con particiones de disco duro, sino con discos dinámicos. Cualquier usuario deberá conocer un mínimo sobre la conversión a volúmenes dinámicos de un disco duro, con la ayuda de un libro o manual, antes de atreverse a administrar un conjunto de espejos.

Si se opera con Windows 2000 deberá tenerse en cuenta la creación de un disco de inicio semanal, con lo cual volvemos a las copias de seguridad. Además, ahora que las grabadoras están en todas partes, es absurdo no copiar lo esencial de nuestro disco duro y sí, a lo mejor, nos parece apropiado estar descargando todo el día MP3 para copiarlos en un CD. Una buena política consiste en usar las Tareas programadas de Windows para indicar los días en que se realizará una copia, de forma automática y sin la intervención del usuario. El asistente de este programa es tan sencillo que hasta un niño podría usarlo; así que no hay excusas para no emplearlo.

La cultura del conocimiento no tiene límites. Los ciberderechos están puestos en entredicho y no existe un defensor único que ayude a la comunidad ante tales peligros. La única solución ante tales batallas radica en nosotros, en las medidas y barreras que pongamos. Conviene estar permanentemente informado de las vulnerabilidades de la Red; por eso no estaría de más que visitáramos, con asiduidad, comunidades como Kriptópolis (www.kriptopolis.com), o la recién estrenada Asociación para la Información de Hackers (www.infohackers.org), si no queremos vernos sorprendidos de forma desagradable.

Dónde adquirir los programas mencionados

Citando programas y utilidades con los que defenderse, es lógico que indiquemos dónde encontrarlos en la vasta Red.

Activity Monitor, http://www.softactivity.com
Ad-aware, http://www.lavasoftusa.om
Ad-Search, http://www.softtonic.com
Anonymizer, http://www.anonymizer.com
Appstraka, http://appstraka.hypermart.net/
CometCursor, http://www.cometcursor.com
ESafe Desktop, http://www.esafe.com/esafe/desktop/index.asp
Eudora, http://www.eudora.com
Express Assist 2000, http://ajsystems.com/
Internet Explorer 6, http://www.microsoft.com/windows/ie
Outlook Express Backup, http://www.genie-soft.com/oebackup_more.htm
PGP, en su última versión, se puede descargar desde: http://www.pgpi.org/
Spamkiller, http://www.spamkiller.com
Spector, http://www.spectorsoft.com
Sygate Personal Firewall, http://www.sygate.com
Vantage, http://www.elnavegador.com
Zone Alarm, http://www.zonelabs.com


Cómo funciona PGP

Para la criptografía no hay nada mejor que PGP, capaz de generar claves de 128 bits, imposibles de romper por cualquier circunstancia. Totalmente gratuito, con unas sencillas instrucciones, es muy fácil de utilizar por aquellos que lo veían como algo complejo.


¿Cómo funciona un programa de estas características? Lo primero es descargarlo e instalarlo, siguiendo los pasos del asistente. Lo más importante de todo ello es crearse una clave. Para ello habrá que introducir un nombre y una dirección de correo electrónico, y luego una contraseña o frase que luego se convertirá en la llave pública. Un último paso consiste en enviar la llave a unos servidores donde se almacenan estas claves públicas. Indicando nuestro correo electrónico al destinatario, éste puede buscar en los servidores públicos hasta dar con el fichero de la clave asociado al e-mail.

Puesto que PGP da problemas con algunos clientes de correo, un método que funciona con todos ellos es éste: dirigirse al icono de PGP, situado en la barra de tareas, y acceder a Options/ Hotkeys, como sea. Allí habrá que activar las opciones Encrypt current window, Sign current window, Encript & Sign current window, y Encrypt & Verify current window.

Cuando se redacte un nuevo mensaje, después de escribir el texto, si se quiere firmar un mensaje se pulsará CTRL + Shift + S. Si lo que se quiere es encriptar, CTRL + Shift + E. Y si se desea encriptar y firmar, CTRL + Shift + C. Con cualquiera de las opciones se nos pedirá que introduzcamos la clave que pusimos al elaborar la llave. Si el mensaje es cifrado habrá que elegir, además, los destinatarios de éste. Sólo aparecerán después de haber descargado su clave de uno de los servidores públicos que hay para ello (donde subimos nuestra clave).

Para el proceso inverso, descifrar, se abrirá el mensaje, se seleccionará el texto, y se pulsará la combinación CTRL + Shift + D. En una nueva ventana se verá el mensaje desencriptado.


Resumen de la polémica ley LSSI

LSSI son las iniciales de Ley de Servicios de la Sociedad de Información, aunque en realidad su nombre completo es Ley de Servicios de la Sociedad de Información y Comercio Electrónico. En la actualidad, esta iniciativa se encuentra en fase de Anteproyecto de ley, a punto de entrar en vigor.


La nueva obliga a todas las empresas de Internet, llamadas ahora "prestadores de servicios" a comunicar todos los nombres de dominio que estén utilizando. También se debe comunicar cuanta información solicite el Ministerio de Ciencia y Tecnología respecto a la empresa, de carácter obligado.

Toda las páginas de comercio electrónico deberán incluir información clara sobre el producto o servicio, precios, gastos de envío e impuestos. Además de los códigos de conducta a los que están adheridos. Si el Ministerio cree incumplido este punto puede ordenar el cierre de la página web.


La competencia puede notificar al Ministerio si cree que una empresa está cometiendo una actividad ilícita para que ésta sea investigada.

Los sitios de albergue (hosting) están supeditados a entregar todos los datos relativos a la actividad de una empresa durante 6 meses. Y a cerrar un sitio web si es necesario.


Los prestadores de contenidos sólo son responsables de sus propios contenidos. No son responsables de los contenidos ajenos (por ejemplo, las transmisiones amateur de una chat de sexo acogida).

Si se considera que un enlace o motor de búsqueda es ilícito, el Ministerio lo notifica y se debe retirar de la página web. Si no se hiciera, se considera también culpable al prestador de servicios.


El Ministerio elaborará códigos de conducta, textos que deberán insertarse en las páginas web comerciales.

Quedan prohibidas las comunicaciones comerciales que no hubieran sido solicitadas por un internauta. Si son consentidas, al principio del mensaje deberá figurar la palabra "Publicidad".


Los contratos electrónicos se regirán por el Código Civil y el Código de Comercio.

Pueden interponer una demanda de cesación de una página web: personas físicas o jurídicas, asociaciones, el Ministerio fiscal, el Instituto Nacional de Consumo, y entidades de otros Estados Miembros de la Unión Europea.


Los funcionarios adscritos al Ministerio de Ciencia y Tecnología que ejerzan una inspección tendrán la consideración de autoridad pública.

Se considera infracción grave, tres faltas de correo electrónico no autorizado. O no proporcionar a un usuario las condiciones generales de un servicio. La multa es de 90.000 a 300.000 euros.

Es infracción leve la no-comunicación en el Registro de los nombres de dominio utilizados. La multa es de 3.000 a 90.000 euros.

Las infracciones serán reflejadas en el Boletín Oficial del Estado, en dos periódicos de tirada nacional y en la página de inicio del sitio web sancionado.


Todo el anteproyecto de la futura ley LSSI se encuentra, para consulta, en http://www.setsi.mcyt.es/novedad/antepr_elect_300401.pdf

El problema que han visto abogados y expertos en Derecho es que el término "prestadores de servicios" es muy amplio y ambiguo, ya que abarca desde los comercios electrónicos -para los que se ideó, en principio, esta regularización- hasta medios de comunicación digitales, pasando por aquellas páginas web que ofrezcan algo al internauta. Kriptópolis que discutió en el Senado la conveniencia de esta ley, no tardó nada en migrar toda su publicación digital a los Estados Unidos, con el fin de evitarse problemas legales. Los propios usuarios temen lo que pueda pasar a partir de ahora con el contenido de páginas personales.


Cómo obtener un certificado digital para el correo

Las firmas electrónicas, que verifican que realmente el destinatario de un mensaje ha recibido un correo de quien dice ser, se obtienen desde el mismo Outlook, donde en el apartado Opciones/ Seguridad, se puede ver una opción que dice “Obtener ID digital”. Los de la compañía Thawte son gratuitos para uso personal. Se puede descargar uno, siguiendo los pasos del asistente, desde:

http://www.thawte.com/certs/personal/contents.html

Una vez instalado, hay una opción en el correo que permite firmar el mensaje. Lo que muchos no saben es que simplemente cambiando en las opciones del correo, nuestro e-mail de procedencia, aparece éste en la cabecera del mensaje dirigido al destinatario, aunque nos lo hayamos inventado. Con una firma se evita que se falsifique el origen, ya que el fichero con la firma sólo puede provenir de su legítimo propietario, que es quien lo tiene instalado en su ordenador.