Detectan fallas críticas en herramientas de PGP y S/MIME
Actualización: se han publicado los detalles técnicos de las vulnerabilidades presentadas en este artículo.
Una advertencia importante para las personas que utilizan herramientas de cifrado de correo electrónico, PGP y S / MIME, para la comunicación confidencial.
Un equipo de investigadores europeos de seguridad ha lanzado una advertencia sobre un conjunto de vulnerabilidades críticas descubiertas en las herramientas de cifrado PGP y S/MIME que podrían revelar el texto en claro de correos electrónicos cifrados.
¿Podría ser peor? Las vulnerabilidades también afectan los correos electrónicos cifrados que se enviaron en el pasado.
PGP, o Pretty Good Privacy, es un estándar de cifrado de código abierto de extremo a extremo utilizado para cifrar correos electrónicos de una manera que nadie, ni siquiera la compañía, el gobierno o los ciberdelincuentes, puedan espiar tu comunicación.
S/MIME, Extensiones de Correo de Internet Seguras / Multipropósito, son una tecnología asimétrica basada en criptografía que permite a los usuarios enviar correos electrónicos firmados y cifrados digitalmente.
Sebastian Schinzel, profesor de seguridad informática en la Universidad de Ciencias Aplicadas de Münster, se dirigió a Twitter para advertir a los usuarios del problema y dijo que "actualmente no hay soluciones confiables para la vulnerabilidad".
Electronic Frontier Foundation (EFF) también ha confirmado la existencia de vulnerabilidades "no divulgadas" y recomienda a los usuarios desinstalar las aplicaciones PGP y S/MIME hasta que se corrijan los defectos.
EFF ha estado en comunicación con el equipo de investigación y puede confirmar que estas vulnerabilidades representan un riesgo inmediato para quienes utilizan estas herramientas para la comunicación en correo electrónico, incluida la obtención potencial de los contenidos de los mensajes anteriores", dijo la organización en su blog.
Nuestro consejo, que es similar al de los investigadores, es desactivar y/o desinstalar las herramientas que descifran automáticamente el correo electrónico cifrado por PGP
Entonces, hasta que las vulnerabilidades sean reparadas, por ahora se aconseja a los usuarios que dejen de enviar y especialmente abrir correos electrónicos cifrados con PGP, y que utilicen herramientas seguras alternativas de extremo a extremo, como Signal (aunque recientemente se han descubierto vulnerabilidades en este servicio de mensajería).
EFF ha advertido a los usuarios que deben deshabilitar inmediatamente si han instalado alguno de los siguientes complementos/herramientas para administrar correos electrónicos cifrados:
- Thunderbird con Enigmail
- Apple Mail con GPGTools
- Outlook con Gpg4win
Cabe señalar que los investigadores no han afirmado que los defectos residen en la forma en que funciona el algoritmo de cifrado; en cambio, los problemas aparecen en la forma en que funcionan los complementos/herramientas de descifrado de los correos electrónicos.
Los detalles técnicos completos de las vulnerabilidades fueron dados a conocer en un documento el martes a las 7 A. M. UTC (2 AM, hora de la ciudad de México).