Photo: AP

Si usas PGP o S/MIME para cifrar tu email, deberías desactivarlo cuanto antes en tu cliente de correo electrónico. Un grupo de investigadores ha descubierto una vulnerabilidad crítica a la que llaman EFAIL que expone los correos cifrados en texto plano, incluso para los mensajes enviados en el pasado.

“El email ya no es un medio de comunicación seguro”, explicó Sebastian Schinzel, profesor de seguridad informática en la Universidad de Ciencias Aplicadas de Münster, en Alemania, al diario alemán Süddeutschen Zeitun.

Advertisement

La vulnerabilidad fue reportada por primera vez por la Electronic Frontier Foundation (EFF) en las primeras horas del lunes por la mañana, y los detalles fueron publicados prematuramente justo antes de las 6 a.m. ET de hoy después de que el Süddeutschen Zeitun rompiera un embargo informativo. El grupo de investigadores europeos pide a la gente que deje de usar PGP por completo y asegura que “actualmente no hay soluciones fiables contra la vulnerabilidad”.

Según los investigadores:

Los ataques EFAIL explotan vulnerabilidades en los estándares OpenPGP y S/MIME para revelar en texto plano los correos electrónicos cifrados. En pocas palabras, EFAIL abusa del contenido activo en el email HTML, como por ejemplo imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas. Para crear estos canales de exfiltración, el atacante primero necesita tener acceso a los correos electrónicos cifrados, por ejemplo interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo o computadoras cliente. Los correos electrónicos incluso podrían haber sido recopilados hace años.

El atacante cambia un correo cifrado de una manera determinada y envía este correo cifrado manipulado a la víctima. El cliente de correo electrónico de la víctima descifra el correo y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante.

Advertisement

Puede leer más sobre lo que los investigadores llaman vulnerabilidad de EFAIL en https://efail.de/.

Sebastian Schinzel planeaba esperar hasta la madrugada del martes para dar a conocer sus hallazgos, pero el embargo se rompió. A largo plazo, los estándares deberán actualizarse drásticamente, lo que llevará una cantidad considerable de tiempo.

PGP (Pretty Good Privacy) es un programa de encriptación que era considerado el estándar de oro para la seguridad del correo electrónico. Se empezó a desarrollar en 1991. El correo electrónico cifrado, a menudo vendido como una especie de escudo de invisibilidad por expertos en seguridad irresponsables, adquirió popularidad después de que Edward Snowden revelara el alcance de la vigilancia electrónica del gobierno de Estados Unidos en junio de 2013. Pero el correo electrónico cifrado no es perfecto: ningún sistema de seguridad lo es.

Advertisement

Por su parte, los expertos en privacidad insisten en que esta vulnerabilidad se ha sobreestimado y que la gente está reaccionando de manera exagerada. Werner Koch, autor principal de GNU Privacy Guard, escribe que las dos formas de mitigar el ataque son simplemente no usar el correo en HTML y usar cifrado autenticado, algo que se menciona en el documento.

“Descubrieron que hay clientes de correo que no verifican correctamente los errores de descifrado y también siguen los enlaces en correos HTML. Entonces, la vulnerabilidad está en los clientes de correo y no en los protocolos. De hecho, OpenPGP es inmune si se usa correctamente, mientras que S/MIME no tiene una mitigación desplegada”, publicó GNU Privacy Guard en Twitter.

“Si se usa correctamente” parece ser una frase mágica para muchas empresas de seguridad estos días. Otros han empezado a darse cuenta de lo estúpido que puede ser este argumento.

Advertisement

La EFF tiene guías sobre cómo deshabilitar PGP en Apple Mail, en Outlook y en Thunderbird. ¿Qué deberías usar como alternativa? La EFF dice que no hay alternativas de correo electrónico fiables, y recomienda usar Signal para textos y llamadas cifradas de extremo a extremo. Pero ten en cuenta que nada es infalible.

Puede leer el artículo completo, escrito por Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky y Jörg Schwenk en EFAIL.de.

[EFF y Süddeutschen Zeitun]