Investigadores europeos rompen la protección de PGP y S/MIME
Este equipo ha lanzado una alerta general después de haber descubierto una serie de vulnerabilidades críticas tanto en PGP como en S/MIME, utilizados para cifrar emails, las cuales permitirían revelar el contenido de nuestros correos electrónicos en texto plano. Las vulnerabilidades también afectan los emails cifrados que hayamos enviado en el pasado.
S/MIME (Secure/Multipurpose Internet Mail Extensions), por otra parte, es otro estándar de criptografía asimétrica que permite a los usuarios enviar emails cifrados y con firma digital. Ambas protecciones han quedado totalmente vulnerables, y según afirma Sebastian Schinzel, de la Universidad de Münster, no existe de momento ningún parche ni solución fiable para las vulnerabilidades.
La Electronic Frontier Foundation (EFF) ha confirmado la existencia de estas vulnerabilidades, y ha recomendado a los usuarios desinstalar todas las herramientas de cifrado PGP y S/MIME hasta que estos fallos sean parcheados. La EFF ha estado en contacto con los investigadores y han confirmado que las vulnerabilidades suponen un grave riesgo para los usuarios y sus comunicaciones a través de email, pudiendo desvelarse su contenido.
There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4
— Sebastian Schinzel (@seecurity) 14 de mayo de 2018
No uses PGP en tus emails, ni leas los que hayas cifrado con él hasta que lo arreglen
Por tanto, lo más recomendable que podemos hacer actualmente es dejar de enviar y leer emails cifrados con PGP, y usar herramientas alternativas que sepamos que de momento son seguras para comunicarse, como Signal.
La publicación de todos los detalles sobre las vulnerabilidades se realizará mañana día 15 a las 9:00. Por lo que los investigadores han publicado de momento, se intuye que la vulnerabilidad no está presente en el algoritmo de cifrado, sino en la forma en la que funcionan las herramientas de descifrado y los plugins para implementar estos métodos de protección.
Entre estos plugins encontramos Thunderbird en Enigmail, GPGTools con Apple Mail, o Gpg4win en Outlook. La EFF ha publicado guías sobre cómo desinstalar cada uno de estos plugins, lo cual tendremos que hacer de manera temporal hasta que el riesgo haya pasado y los fallos hayan sido subsanados.
Actualización: la vulnerabilidad ha sido publicada antes de tiempo porque alguien ha roto ya el embargo. En la web de EFAIL están todos los detalles. Los fallos de seguridad se encuentran en los propios estándares de PGP y S/MIME. En concreto, el ataque se basa el contenido activo de emails en HTML, aprovechándose de contenido cargado de manera externa como imágenes o estilos, pudiendo obtener el texto plano a través de la URL solicitada.
 |
 |
Para ello, el atacante primero tiene que tener acceso a los emails cifrados, lo cual se puede obtener espiando el tráfico de nuestra red, accediendo a la cuenta de correo, al servidor donde esté alojado el email, o al propio ordenador. Cualquier email enviado hasta la fecha está afectado. Así, un atacante puede cambiar un email y enviar este email cifrado modificado a una víctima. Al descifrarlo y cargar cual contenido externo, el atacante puede tener acceso en texto plano a los correos del usuario.
