LinkedIn
Instagram
WhatsApp
Telegrama
Calendario de Google
Únase a la comunidad SlackCrea integraciones de correo electrónico que tus usuarios puedan confianza
Conectar a las bandejas de entrada de sus usuarios implica riesgos de seguridad reales. Contraseñas almacenadas, ámbitos de OAuth demasiado amplios y tokens no rotados crean superficies de ataque que rompen la confianza del usuario y violan el GDPR.
Unipile's Guía de la API de correo electrónico Cubre la imagen completa de la integración. Este artículo se centra en la capa de seguridad: qué debe garantizar una API de correo electrónico segura, qué riesgos evitar y cómo Unipile está diseñado para proteger los datos de sus usuarios por diseño.
Gmail
Outlook
IMAP
¿Qué hace que una API de correo electrónico sea "segura"?
La seguridad en una API de correo electrónico no es una característica única. Es una elección arquitectónica que abarca la autenticación, la autorización, el manejo de datos y la infraestructura. Una API de correo electrónico segura debe garantizar cuatro cosas simultáneamente.
Los usuarios autorizan el acceso a través del flujo OAuth oficial de su proveedor. La contraseña nunca sale del servidor del proveedor ni llega a tu base de datos.
Cada cuenta vinculada solicita solo los permisos que realmente necesita: solo lectura cuando no se requiere envío, ámbito de envío solo cuando es explícitamente necesario.
Todo el tráfico de la API utiliza TLS 1.2 o superior. Los tokens almacenados se cifran en reposo con AES-256. El contenido del correo electrónico nunca se conserva más allá del ciclo de vida de la solicitud.
OAuth 2.0 vs. almacenar una contraseña
La decisión de seguridad más fundamental en cualquier integración de correo electrónico es cómo se autentica. Muchas integraciones heredadas de IMAP piden a los usuarios que ingresen su contraseña de correo electrónico y la almacenen. Este enfoque crea un único punto de falla: una brecha en la base de datos expone la bandeja de entrada de todos los usuarios. OAuth 2.0 elimina esto por completo. Vea cómo Google OAuth 2.0 y Microsoft OAuth 2.0 implementa este flujo.
Ámbitos del token: solo lectura vs. enviar
Los ámbitos de OAuth definen exactamente lo que tu aplicación puede hacer con el buzón de un usuario. Solicitar ámbitos amplios cuando los más estrechos serían suficientes es un grave antipatrón de seguridad. Para un CRM que solo lee correos electrónicos para registrar actividades, solicitar gmail.modificar es innecesario y expone a los usuarios a un mayor riesgo si su token se ve comprometido. Si tu aplicación necesita API para enviar correo electrónico solicitudes, también encontrará un desglose completo de los ámbitos requeridos por proveedor en nuestra guía de la API para enviar correos electrónicos.
| Alcance | Proveedor | Lo que permite | Nivel de riesgo |
|---|---|---|---|
| gmail.lectura | Gmail | Leer correos electrónicos solamente | Mínimo |
| gmail.enviar | Gmail | Enviar en nombre de usuario | Alcance |
| Mail.Read | Outlook | Leer correos electrónicos solamente | Mínimo |
| Mail.Enviar | Outlook | Enviar en nombre de usuario | Alcance |
| https://mail.google.com/ | Gmail | Acceso completo al buzón | Amplio |
| Mail.ReadWrite | Outlook | Leer, escribir, borrar | Amplio |
Cifrado en tránsito y en reposo
Una API de correo electrónico segura aplica TLS 1.2 o superior en todos los puntos de conexión de la API. No se aceptan comunicaciones en texto plano. Más allá del tránsito, cualquier token o credencial que deba persistirse —por ejemplo, tokens de actualización de OAuth— debe cifrarse en reposo utilizando un cifrado simétrico robusto (AES-256). Igualmente importante: el contenido del correo electrónico en sí nunca debe almacenarse más allá de lo que requiere la solicitud. Leer y mostrar un correo electrónico en tu interfaz de usuario no requiere persistir su cuerpo en tu base de datos.
Riesgos de seguridad de la API de correo electrónico a evitar
La mayoría de los fallos de seguridad en la integración de correo electrónico no son ataques exóticos, sino errores predecibles en el manejo de credenciales, tokens y datos. Los cuatro patrones que se detallan a continuación representan la mayoría de los incidentes del mundo real en las integraciones de API de correo electrónico.
Pedir a los usuarios que ingresen su contraseña de correo electrónico y almacenarla, incluso cifrada, es el patrón de mayor riesgo en la integración de correo electrónico. Convierte tu base de datos en un objetivo de alto valor. Si un atacante obtiene acceso a tu almacén de credenciales, obtendrá acceso directo a la bandeja de entrada de cada usuario. Más allá del riesgo de seguridad, Google y Microsoft prohíben explícitamente el acceso basado en contraseñas a cuentas de Gmail y Outlook para aplicaciones de terceros. IMAP con contraseña solo es aceptable para servidores de correo autohospedados o heredados donde OAuth no está realmente disponible.
Solicitando https://mail.google.com/ (acceso completo a Gmail) cuando solo necesitas leer la carpeta de enviados de un usuario es un patrón anti-patrón. Los alcances amplios aumentan el radio de explosión de un token comprometido y erosionan la confianza del usuario durante la pantalla de consentimiento de OAuth: los usuarios que ven "leer, redactar, enviar y eliminar permanentemente todo tu correo electrónico" tienen razón al dudar. Tanto Google como Microsoft ahora marcan el uso innecesario de alcances durante las revisiones de aplicaciones.
Las tokens de acceso OAuth tienen una vida útil corta por diseño; típicamente una hora para Gmail y Outlook. Las tokens de actualización pueden persistir durante meses o indefinidamente. Si almacenas tokens de actualización sin una estrategia de rotación, una token de actualización filtrada otorga acceso a largo plazo al buzón del usuario. Algunas integraciones también almacenan en caché las tokens de acceso mucho después de su caducidad y no manejan los eventos de revocación (cuando un usuario elimina tu aplicación de la configuración de su cuenta de Google o Microsoft).
Los registros de aplicaciones a menudo están menos protegidos que las bases de datos primarias, se conservan durante más tiempo y se replican en múltiples sistemas (agregadores de registros, servicios de monitoreo, rastreadores de errores). Registrar cuerpos de correo electrónico completos, encabezados que contienen datos personales o listas de destinatarios crea una exposición significativa al RGPD: está procesando datos personales en un contexto al que el usuario nunca consintió y que no puede auditar. Los registros de errores que incluyen respuestas crudas de la API pueden capturar inadvertidamente hilos de correo electrónico completos.
Cumplimiento del RGPD para integraciones de API de correo electrónico
Los datos de correo electrónico se encuentran entre las categorías de datos personales más sensibles según el RGPD. Cuando su aplicación accede a la bandeja de entrada de un usuario a través de una API, usted se convierte en un procesador de datos. Eso crea obligaciones legales concretas en torno a la residencia, el consentimiento y la supresión que su arquitectura de API de correo electrónico debe soportar.
Los datos personales de la UE deben permanecer dentro de la UE o en países con una decisión de adecuación. Su infraestructura de API de correo electrónico debe ofrecer puntos finales alojados en la UE.
Los usuarios deben autorizar explícitamente el acceso a su buzón de correo. La pantalla de consentimiento de OAuth debe indicar claramente qué datos se accederán y con qué propósito.
Cuando un usuario solicita la eliminación o desconecta su cuenta, todos los tokens, datos en caché y datos personales asociados deben ser eliminados dentro de los plazos del RGPD.
Residencia de datos
Según el Artículo 44 del RGPD, la transferencia de datos personales fuera del Espacio Económico Europeo requiere una decisión de adecuación, cláusulas contractuales tipo (SCC) u otro mecanismo legal válido. Para las integraciones de API de correo electrónico que atienden a usuarios de la UE, la infraestructura que almacena tokens OAuth, procesa metadatos de correo electrónico o almacena en caché el contenido de los mensajes debe estar alojada en la UE. Elegir un proveedor de API sin opciones de residencia de datos en la UE lo obliga a depender de las SCC y a una carga de cumplimiento adicional. Para casos de uso en atención médica o financiera donde se aplican requisitos adyacentes a HIPAA, la residencia de datos se vuelve aún más crítica.
Tu proveedor de API de correo electrónico es un subprocesador según el RGPD. Debes tener un Acuerdo de Procesamiento de Datos (APD) con ellos, y su infraestructura debe soportar la residencia de datos en la UE para cualquier dato de usuario de la UE que procesen en tu nombre.
Flujo de consentimiento del usuario
El flujo de autorización OAuth sirve como implementación técnica del consentimiento del RGPD para el acceso al correo electrónico, pero solo si está diseñado correctamente. La pantalla de consentimiento debe describir con precisión lo que la aplicación accederá, en lenguaje claro. Solicitar ámbitos más allá de lo que describe su política de privacidad crea una brecha de cumplimiento. Los usuarios también deben poder completar este flujo sin coerción: conectar su cuenta de correo electrónico no debe ser una condición forzosa para acceder a su servicio principal, a menos que el acceso al correo electrónico sea genuinamente el servicio en sí.
Derecho de supresión - desconexión de cuenta
El Artículo 17 del RGPD otorga a los usuarios el derecho al olvido. En el contexto de una integración de correo electrónico, esto significa que su aplicación debe ser capaz de eliminar de forma inmediata y completa todo rastro del acceso de un usuario a su correo electrónico cuando se solicite. Esto no se trata solo de eliminar el token OAuth, sino que abarca todos los artefactos creados durante la vida útil de la integración.
Cómo Unipile Maneja la Seguridad de la API de Correo Electrónico
La seguridad no es una característica que se añade a Unipile: es el comportamiento predeterminado de la plataforma. Unipile está diseñado específicamente para ofrecer una API de correo electrónico segura donde la autenticación, la seguridad de los datos del correo electrónico y los controles de cumplimiento están integrados por defecto, no añadidos posteriormente. Cada decisión arquitectónica sobre cómo Unipile se conecta a las cuentas de Gmail, Outlook e IMAP se toma con la seguridad y privacidad de los usuarios finales como principal restricción.
Unipile se conecta a Gmail a través de Google OAuth 2.0 y a Outlook y Microsoft 365 a través de Microsoft OAuth 2.0. Sus usuarios se autentican directamente a través de la pantalla de consentimiento oficial del proveedor. Ninguna contraseña pasa nunca por la infraestructura de Unipile. Para las cuentas IMAP donde OAuth no está disponible, las credenciales se cifran en reposo con AES-256 y nunca se exponen a través de ninguna respuesta de API, incluida la Guía de la API IMAP cubre esta arquitectura en detalle.
Unipile solicita los alcances de OAuth más estrechos necesarios para las funciones que habilita su aplicación SaaS. Si su integración solo lee correos electrónicos para completar un feed de actividad de CRM, Unipile solicita alcances de solo lectura. El alcance de envío se agrega solo cuando su implementación requiere explícitamente el envío. Esto reduce el radio de explosión de cualquier problema de credenciales y hace que la pantalla de consentimiento de OAuth de su aplicación sea sencilla para que los usuarios finales la aprueben.
Para los equipos de SaaS que atienden a clientes de la UE, Unipile ofrece opciones de infraestructura alojada en la UE. Los tokens OAuth, los metadatos de cuentas vinculadas y cualquier dato de correo electrónico procesado de forma transitoria permanecen dentro de la jurisdicción de la UE. Esto le permite mantener un registro limpio del procesamiento de datos del RGPD y celebrar un Acuerdo de Procesamiento de Datos con Unipile como su subprocesador, un requisito legal en virtud del Artículo 28 del RGPD para cualquier procesador que maneje datos personales de la UE en su nombre.
Unipile expone un endpoint DELETE para cuentas vinculadas. Llamarlo revoca inmediatamente el token OAuth a nivel del proveedor, purga todos los metadatos asociados de la infraestructura de Unipile y cancela las suscripciones activas de webhook. Esto le brinda una vía limpia y de una sola llamada a la API para cumplir con las solicitudes de "derecho al olvido" del RGPD relacionadas con el acceso al correo electrónico, sin necesidad de limpieza manual en múltiples paneles de proveedores.
Lee la referencia completa de la API: flujos de autenticación, gestión de tokens y seguridad de webhooks.
Certificaciones de cumplimiento
Unipile es auditada y certificada de forma independiente en los tres marcos de cumplimiento más relevantes para la integración segura de API de correo electrónico: operaciones de seguridad, protección de datos y acceso a la API de Google.
Auditado por un tercero independiente. Cubre los criterios de servicio de confianza de seguridad, disponibilidad y confidencialidad en la infraestructura de Unipile's.
Cumplimiento total con las regulaciones de protección de datos de la UE. Unipile actúa como Procesador de Datos. Todos los datos alojados exclusivamente en la UE. DPA disponible bajo petición.
Evaluación de seguridad de aplicaciones de Google Cloud. Valida los controles de seguridad para las aplicaciones que acceden a datos de usuarios de Google, incluyendo los ámbitos OAuth de Gmail.
Cuando construyes sobre Unipile, tu integración de correo electrónico seguro se beneficia de los mismos controles de seguridad que superaron estas auditorías. Esto es particularmente relevante para CASA Tier II: las aplicaciones construidas sobre una API de correo electrónico seguro certificada por CASA pueden mantener su propio estado de cumplimiento en toda la cadena de integración, sin una auditoría separada de la capa de correo electrónico.
Lista de verificación de seguridad para la integración de la API de correo electrónico
Utilice esta lista de verificación antes de enviar cualquier integración de API de correo electrónico a producción. Todos los elementos deben ser validados antes de que la integración pueda considerarse lista para producción desde el punto de vista de la seguridad.
OAuth 2.0, ámbitos mínimos, residencia de datos en la UE, desconexión instantánea de cuentas: todo incluido en una única API de correo electrónico segura. Conecte Gmail, Outlook e IMAP con acceso encriptado al correo electrónico y sin almacenamiento de contraseñas.
API de correo electrónico seguro - Preguntas frecuentes
Preguntas frecuentes sobre seguridad de API de correo electrónico, OAuth y cumplimiento
IMAP puede ser seguro, pero depende completamente de la implementación. El protocolo en sí transmite datos a través de TLS cuando está configurado correctamente, por lo que la capa de tránsito no es el problema. El riesgo está en cómo se manejan las credenciales. IMAP requiere un nombre de usuario y una contraseña; a diferencia de Gmail y Outlook, que admiten OAuth 2.0, IMAP no tiene un estándar de autorización delegada. Esto significa que tu aplicación debe almacenar o recuperar la contraseña del usuario cada vez que se conecta. Eso es manejable si las credenciales están cifradas en reposo con AES-256, el acceso al almacén de credenciales está estrictamente limitado y las contraseñas nunca se registran ni se exponen a través de las respuestas de la API. Para Gmail y Outlook, prefiere siempre OAuth 2.0 sobre IMAP con contraseña; ambos proveedores lo requieren para aplicaciones de terceros. IMAP con contraseña solo es apropiado para servidores de correo autoalojados o entornos corporativos heredados donde OAuth no está verdaderamente disponible. Lee más en el Guía de la API IMAP.
El cumplimiento de la HIPAA para la integración de una API de correo electrónico es factible, pero requiere una arquitectura cuidadosa. La HIPAA no certifica a los proveedores de correo electrónico, sino que exige que cualquier sistema que maneje Información Sanitaria Protegida (PHI) aplique salvaguardas técnicas específicas: cifrado en tránsito y en reposo, controles de auditoría, controles de acceso y cierre automático de sesión en caso de inactividad. Para una API de correo electrónico, esto significa: utilizar OAuth 2.0 para que no se almacenen contraseñas, garantizar que los tokens y cualquier metadato almacenado en caché estén cifrados en reposo, no registrar nunca contenido de correo electrónico que pueda contener PHI, y tener un Acuerdo de Asociado Comercial (BAA) con su proveedor de API. Tanto Gmail como Outlook ofrecen configuraciones aptas para la HIPAA en los planes Google Workspace y Microsoft 365 Business, respectivamente, con un BAA firmado por el proveedor. Su capa API de correo electrónico también debe firmar un BAA con usted si procesa o transmite PHI en su nombre. Desde un punto de vista práctico, el camino más seguro según la HIPAA es tratar el contenido del correo electrónico como transitorio (leerlo, procesarlo, mostrarlo), pero nunca conservar el cuerpo o los archivos adjuntos en su propia base de datos.
Revocar el acceso de un usuario a su correo electrónico implica dos acciones distintas que deben ocurrir ambas. Primero, revoca el token a nivel del proveedor. Para Gmail, llama al punto de terminación de revocación de tokens de Google (https://oauth2.googleapis.com/revoke). Para Outlook, llama al endpoint de revocación de Microsoft o elimina la aplicación de la cuenta de Microsoft del usuario. Simplemente eliminar el token de tu base de datos no es suficiente; el token sigue siendo válido en el proveedor hasta que se revoque explícitamente. Segundo, purgar todos los datos locales. Elimina el token de actualización, cualquier token de acceso en caché, todos los metadatos de correo electrónico que hayas almacenado para esa cuenta vinculada, las suscripciones de webhooks y el registro de la cuenta vinculada en sí. Con Unipile, un único ELIMINAR /cuentas/{id} la llamada maneja ambos pasos: revoca el token en el proveedor y limpia todos los datos asociados en la infraestructura de Unipile simultáneamente.
La seguridad del correo electrónico generalmente se refiere a la protección de la comunicación por correo electrónico en sí: filtrado de spam, detección de phishing, autenticación DKIM/SPF/DMARC y cifrado del mensaje en tránsito entre servidores de correo. La seguridad de la API de correo electrónico es una capa completamente diferente: se trata de cómo una aplicación de terceros obtiene acceso programático al buzón de un usuario, qué datos maneja como resultado y cómo protege ese acceso. Puede tener una excelente seguridad de correo electrónico (DMARC configurado, TLS aplicado entre servidores) y, al mismo tiempo, una seguridad de API de correo electrónico deficiente (contraseñas almacenadas en texto plano, ámbitos de OAuth excesivamente amplios). Ambas son importantes de forma independiente. Este artículo se centra en la capa de seguridad de la API: las decisiones arquitectónicas que toma su equipo de desarrollo al integrarse con Gmail, Outlook o IMAP a través de una API.
Unipile no almacena de forma persistente el contenido de los correos electrónicos. Cuando tu aplicación llama a la API de Unipile para recuperar correos electrónicos, Unipile recupera los datos del proveedor (servidor Gmail, Outlook o IMAP) en tiempo real y los devuelve a tu aplicación. Los cuerpos de los correos electrónicos y los archivos adjuntos no se almacenan en caché ni se guardan en la infraestructura de Unipile más allá del ciclo de vida de la solicitud. Lo que Unipile almacena es el token de OAuth (cifrado en reposo) y metadatos básicos de la cuenta vinculada necesarios para mantener la conexión: tipo de proveedor, identificador de cuenta y estado de la conexión. Esta arquitectura significa que el contenido del correo electrónico permanece entre tu aplicación y el proveedor, y Unipile actúa como un intermediario seguro en lugar de un almacén de datos. Para obtener detalles completos sobre cómo Unipile maneja los datos, consulta documentación para desarrolladores y solicite un DPA al equipo de Unipile.
OAuth 2.0 mejora la seguridad de la integración de correo electrónico de cuatro maneras concretas. No exposición de credenciales la contraseña del usuario nunca sale del servidor del proveedor; tu aplicación solo recibe un token de acceso de corta duración. Permisos granulares Los ámbitos de OAuth te permiten solicitar exactamente el acceso que necesitas (solo lectura, solo envío) en lugar de control total del buzón. Revocabilidad: un usuario puede eliminar el acceso de su aplicación desde la configuración de su cuenta de Google o Microsoft en cualquier momento, sin cambiar su contraseña, y el token se vuelve inmediatamente inválido. Tokens de corta duración Los tokens de acceso expiran (generalmente después de una hora), lo que limita el período de exposición si un token resulta comprometido. Estas propiedades hacen de OAuth 2.0 el único mecanismo de autenticación aceptable para las integraciones de Gmail y Outlook en aplicaciones SaaS de producción. Aprende cómo implementarlo para Google OAuth 2.0 y Microsoft OAuth 2.0.
¿Aún tiene preguntas? Nuestro equipo está aquí para ayudarle.
ES 
EN 
FR 
DE 
IT 
BR 
NL 
PL 
TR