Detectan fallo de seguridad crítico en el cifrado de correo electrónico


Los expertos alertan de que la comunicación vía email está en peligro. Un equipo compuesto por nueve académicos advierte que ha sido detectado un fallo de seguridad crítico en las tecnologías de cifrado de correo electrónico OpenPGP y S/MINE, por lo que si utilizas alguna de ellas es recomendable que la desactives cuanto antes.
OpenPGP es un estándar de cifrado que se añade a determinados clientes de correo que ofrece encriptación de extremo a extremo para proteger las comunicaciones por email. Por su parte, S/MINE es un estándar alternativo de cifrado de extremo a extremo que habitualmente se emplea para proteger el correo electrónico corporativo.
La vulnerabilidad, que ha sido bautizada con el nombre EFAIL, permite que los atacantes puedan descifrar el texto sin formato de los mensajes enviados y recibidos. Según el informe de los investigadores, el fallo de seguridad consiste en lo siguiente:
"En pocas palabras, EFAIL abusa del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas. Para crear estos canales de exfiltración, el atacante necesita primero acceso a los correos electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo u ordenadores cliente. Los emails podrían incluso haber sido recopilados hace años". 
"El atacante cambia un correo electrónico cifrado de una manera particular y envía este correo electrónico cifrado modificado a la víctima. El cliente de correo electrónico de la víctima descifra el email y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante".
El equipo señala que, desafortunadamente, de momento no hay soluciones fiables para este fallo de seguridad crítico, por lo que lo que aconseja desactivar estas herramientas de cifrado hasta que se encuentre una forma de arreglar el problema. La Electronic Frontier Foundation, organismo al que los investigadores han contactado para advertir de la vulnerabilidad a un público más amplio, ha publicado tutoriales que explican cómo deshabilitar temporalmente los complementos de PGP en ThunderbirdApple Mail y Outlook.
No obstante, algunos expertos, medios y compañías señalan que no se trata de una vulnerabilidad del protocolo PGP en sí, sino de la implementación que hacen algunos clientes. Según explica ProtonMail, el fallo se conoce desde el año 2001, pero algunos clientes no estaban al tanto y no realizaron la mitigación adecuada. "Como el servicio de correo electrónico cifrado más grande del mundo basado en PGP, estamos decepcionados de que algunas organizaciones y publicaciones hayan contribuido a una narrativa que sugiere que PGP está roto o que la gente debería dejar de usarlo. Esta no es una recomendación segura", afirma un portavoz. 
[Via Gizmodo]

Publicar un comentario

0 Comentarios