Se encontró una grave vulnerabilidad en el cifrado de los estándares PGP y S/MIME que los ha vuelto vulnerables.
Esta nueva amenaza en materia de seguridad y privacidad está sacudiendo a la Red, y en esta ocasión han sido a unos de los estándares más populares y considerado como de los más seguros.
A pesar de ser estándares sumamente rigurosos, su vulnerabilidad en el cifrado permitiría convertir el contenido de los correos en texto plano y por lo tanto accesibles para cualquier usuario.
Sebastian Schinzel, el autor del hallazgo, confirmó que por el momento no hay solución posible, y por si esto fuera poco, los hackers podrían descifrar también las comunicaciones que tuvieron lugar en el pasado.
La gravedad y el alcance de este problema han sido confirmados por la Electronic Frontier Foundation.
El PSP es un conocido estándar que se añade a determinados clientes de correo electrónico con una capa adicional que lograría, en teoría, que los mensajes fueran completamente inaccesibles, salvo para el remitente y el destinatario. Este cifrado se lleva a cabo por lo general mediante extensiones que ahora se recomienda mucho que se desinstalen.
Los autores del hallazgo, que se anunció a las 8:00 de la mañana de este lunes, bautizaron a este problema como EFAIL y explican detalladamente el funcionamiento del potencial hackeo.
Un atacante se aprovecharía de una debilidad del sistema que permitiría convertir un correo electrónico en texto plano y lógicamente leer todo el contenido. El pirata informático debería acceder en primer lugar a los emails cifrados (bastaría con hackear alguna de las computadoras del propio propio servidor).
En ese momento y en poder de algún correo cifrado, el atacante enviaría un nuevo email con la modificación en dicho cifrado; en este punto, el cliente de correo del destinatario descifraría dicho mensaje descargando todo el contenido externo (fotografías y demás), dejando el texto plano al descubierto.
Los propios expertos explican qué se puede hacer ahora si se usaba PGP y proponen una serie de medidas de carácter urgente:
- Desactivar las extensiones de cifrado y usar sistemas externos; es decir, copiar el contenido del correo recibido, pegarlo en una herramienta de cifrado externa y acceder desde ahí el texto, pero nunca desde dentro del propio cliente del correo cuyo plug-in PGP debería estar desactivado.
- Desactivar el HTML. EFAIL ataca directamente al HTML y contenido enriquecido de los correos (formatos, imágenes, etc.), de manera que lo mejor es desactivarlo en nuestro programa de correo y leer el e-mail en texto plano.
Estas son las medidas de carácter urgente que podrían adoptar por el momento los usuarios, pero para los afectados (fabricantes y reguladores de estándares), también prevén una serie de medidas que deberían llegar a medio o largo plazo.
La primera de ellas consistiría en liberar parches de seguridad de las plataformas que hicieran frente a EFAIL o por lo menos, pusiera las cosas más complicadas. La segunda es más compleja, pero parece que estamos abocados a ella: crear unos nuevos estándares PGP y S/MIME que solucionen el problema y logren que su uso sea completamente seguro.