Vulnerabilidades críticas de PGP y S/MIME pueden exponer correos electrónicos cifrados
Los dos métodos más utilizados en Internet para cifrar el correo electrónico (PGP y S/MIME) son vulnerables a los ataques que pueden revelar el texto de los mensajes encriptados, advirtió un investigador la noche del domingo. Continuó diciendo que no hay soluciones confiables y que aconseje a cualquiera que utilice el estándar de cifrado para comunicaciones confidenciales que lo elimine inmediatamente de los clientes de correo electrónico.
Los fallos "podrían revelar el texto original de los correos cifrados, incluidos los correos electrónicos encriptados que usted envió en el pasado", escribió Sebastian Schinzel, profesor de seguridad informática en la Universidad de Ciencias Aplicadas de Münster, en Twitter. "Actualmente no hay soluciones confiables para la vulnerabilidad. Si usa PGP/GPG o S/MIME para una comunicación muy confidencial, debe desactivarlo en su cliente de correo electrónico por ahora".
There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4
— Sebastian Schinzel (@seecurity) 14 de mayo de 2018
Schinzel refirió a las personas esta publicación de blog publicada la noche del domingo por la Electronic Frontier Foundation. Decía: "EFF ha estado en comunicación con el equipo de investigación y puede confirmar que estas vulnerabilidades representan un riesgo inmediato para quienes utilizan estas herramientas para la comunicación por correo electrónico, incluida la posible exposición de los contenidos de mensajes anteriores".
Nuestro consejo, que es similar al de los investigadores, es desactivar y/o desinstalar herramientas que descifran automáticamente el correo electrónico cifrado con PGP. Hasta que los defectos descritos en el documento se comprendan y se solucionen más ampliamente, los usuarios deben usar canales seguros alternativos de extremo a extremo, como Signal, y detener temporalmente el envío y especialmente leer el correo electrónico cifrado por PGP.
Tanto Schinzel como la publicación del blog EFF remitieron a los afectados a las instrucciones de EFF para deshabilitar los complementos en Thunderbird, macOS Mail y Outlook. Las instrucciones solo dicen "deshabilitar la integración de PGP en los clientes de correo electrónico". Curiosamente, no hay ningún consejo para eliminar aplicaciones PGP como Gpg4win, GNU Privacy Guard. Una vez que las herramientas de complemento se eliminan de Thunderbird, Mail u Outlook, las publicaciones de EFF dicen: "tus correos electrónicos no se descifrarán automáticamente". En Twitter, los funcionarios de EFF continuaron diciendo: "no descifren los mensajes cifrados de PGP que reciben utilizando su cliente de correo electrónico".
Poco se conoce públicamente sobre los fallos en este momento. Tanto Schinzel como la publicación del blog EFF dijeron que se divulgarán a última hora del lunes por la noche en California en un documento escrito por un equipo de investigadores de seguridad europeos. Los mensajes de Twitter de Schinzel usaron el hashtag #Efail, una posible indicación del nombre que los investigadores le dieron a su hazaña.
Los miembros del equipo de investigación han estado detrás de una variedad de otros ataques criptográficos importantes, incluido uno de 2016 llamado Drown, que descifró las comunicaciones protegidas por el protocolo de seguridad de la capa de transporte. Otros investigadores detrás de la investigación de PGP y S/MIME incluyen a Damian Poddebniak, Christian Dresen, Jens Müller, Fabián Ising, Simon Friedberger, juraj somorovsky y Jörg Schwenk. Además de la Universidad de Münster, los investigadores también representan a la Universidad Ruhr y la Universidad KU Leuven.
Dada la estatura de los investigadores y la confirmación de EFF, vale la pena seguir los consejos para desactivar PGP y S/MIME en clientes de correo electrónico mientras se espera que se publiquen más detalles la noche del lunes.
Consulte estas guías sobre cómo deshabilitar temporalmente los complementos de PGP en:
Estos pasos están pensados como una medida temporal hasta que el riesgo inmediato de la explotación haya pasado y haya sido mitigado.