Photo: AP

Si usas PGP o S/MIME para cifrar tu email, deberías desactivarlo cuanto antes en tu cliente de correo electrónico. Un grupo de investigadores ha descubierto una vulnerabilidad crítica a la que llaman EFAIL que expone los correos cifrados en texto plano, incluso para los mensajes enviados en el pasado.

‚ÄúEl email ya no es un medio de comunicaci√≥n seguro‚ÄĚ, explic√≥ Sebastian Schinzel, profesor de seguridad inform√°tica en la Universidad de Ciencias Aplicadas de M√ľnster, en Alemania, al diario alem√°n S√ľddeutschen Zeitun.

La vulnerabilidad fue reportada por primera vez por la Electronic Frontier Foundation (EFF) en las primeras horas del lunes por la ma√Īana, y los detalles fueron publicados prematuramente justo antes de las 6 a.m. ET de hoy despu√©s de que el S√ľddeutschen Zeitun rompiera un embargo informativo. El grupo de investigadores europeos pide a la gente que deje de usar PGP por completo y asegura que ‚Äúactualmente no hay soluciones fiables contra la vulnerabilidad‚ÄĚ.

Seg√ļn los investigadores:

Los ataques EFAIL explotan vulnerabilidades en los est√°ndares OpenPGP y S/MIME para revelar en texto plano los correos electr√≥nicos cifrados. En pocas palabras, EFAIL abusa del contenido activo en el email HTML, como por ejemplo im√°genes o estilos cargados externamente, para filtrar el texto sin formato a trav√©s de las URL solicitadas. Para crear estos canales de exfiltraci√≥n, el atacante primero necesita tener acceso a los correos electr√≥nicos cifrados, por ejemplo interceptando el tr√°fico de la red, comprometiendo cuentas de correo electr√≥nico, servidores de correo electr√≥nico, sistemas de respaldo o computadoras cliente. Los correos electr√≥nicos incluso podr√≠an haber sido recopilados hace a√Īos.

El atacante cambia un correo cifrado de una manera determinada y envía este correo cifrado manipulado a la víctima. El cliente de correo electrónico de la víctima descifra el correo y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante.

Advertisement

Puede leer m√°s sobre lo que los investigadores llaman vulnerabilidad de EFAIL en https://efail.de/.

Sebastian Schinzel planeaba esperar hasta la madrugada del martes para dar a conocer sus hallazgos, pero el embargo se rompió. A largo plazo, los estándares deberán actualizarse drásticamente, lo que llevará una cantidad considerable de tiempo.

PGP (Pretty Good Privacy) es un programa de encriptaci√≥n que era considerado el est√°ndar de oro para la seguridad del correo electr√≥nico. Se empez√≥ a desarrollar en 1991. El correo electr√≥nico cifrado, a menudo vendido como una especie de escudo de invisibilidad por expertos en seguridad irresponsables, adquiri√≥ popularidad despu√©s de que Edward Snowden revelara el alcance de la vigilancia electr√≥nica del gobierno de Estados Unidos en junio de 2013. Pero el correo electr√≥nico cifrado no es perfecto: ning√ļn sistema de seguridad lo es.

Advertisement

Por su parte, los expertos en privacidad insisten en que esta vulnerabilidad se ha sobreestimado y que la gente est√° reaccionando de manera exagerada. Werner Koch, autor principal de GNU Privacy Guard, escribe que las dos formas de mitigar el ataque son simplemente no usar el correo en HTML y usar cifrado autenticado, algo que se menciona en el documento.

‚ÄúDescubrieron que hay clientes de correo que no verifican correctamente los errores de descifrado y tambi√©n siguen los enlaces en correos HTML. Entonces, la vulnerabilidad est√° en los clientes de correo y no en los protocolos. De hecho, OpenPGP es inmune si se usa correctamente, mientras que S/MIME no tiene una mitigaci√≥n desplegada‚ÄĚ, public√≥ GNU Privacy Guard en Twitter.

‚ÄúSi se usa correctamente‚ÄĚ parece ser una frase m√°gica para muchas empresas de seguridad estos d√≠as. Otros han empezado a darse cuenta de lo est√ļpido que puede ser este argumento.

Advertisement

La EFF tiene gu√≠as sobre c√≥mo deshabilitar PGP en Apple Mail, en Outlook y en Thunderbird. ¬ŅQu√© deber√≠as usar como alternativa? La EFF dice que no hay alternativas de correo electr√≥nico fiables, y recomienda usar Signal para textos y llamadas cifradas de extremo a extremo. Pero ten en cuenta que nada es infalible.

Puede leer el art√≠culo completo, escrito por Damian Poddebniak, Christian Dresen, Jens M√ľller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky y J√∂rg Schwenk en EFAIL.de.

[EFF y S√ľddeutschen Zeitun]