Un fallo de seguridad permite acceso al correo electr¨®nico cifrado con PGP

Un nuevo sobresalto en materia de seguridad y privacidad sacude a la Red y en esta ocasi¨®n le ha tocado el turno a uno de los est¨¢ndares de cifrado m¨¢s populares y considerado como de los m¨¢s seguros: el PGP. Un grupo de expertos ha publicado el hallazgo a las ocho de la ma?ana de este lunes. Los emails cifrados mediante PGP y S/MIME han dejado de ser seguros. Siendo rigurosos, se ha encontrado una grave vulnerabilidad en el cifrado de estos est¨¢ndares que permitir¨ªa convertir el contenido de dichos correos en texto plano y por lo tanto, accesibles para cualquier usuario.

Las malas noticias no llegan solas y Sebastian Schinzel, el autor del hallazgo, ha confirmado que, por el momento, no hay soluci¨®n posible y por si esto fuera poco, los hackers podr¨ªan descifrar tambi¨¦n las comunicaciones que tuvieron lugar en el pasado. La gravedad y alcance del problema han sido confirmados por la Electronic Frontier Foundation (EFF).

?Qu¨¦ es el PGP y por qu¨¦ es grave este descubrimiento?

PGP es un conocido est¨¢ndar de cifrado que se a?ade a determinados clientes de correo electr¨®nico como una capa adicional que lograr¨ªa -en teor¨ªa- que los mensajes fueran completamente inaccesibles salvo para remitente y destinatario. Como apuntamos, el cifrado se lleva a cabo por lo general mediante extensiones que ahora se recomienda encarecidamente que se desinstalen.

Los autores del hallazgo han bautizado el problema como EFAIL (un expresivo juego de palabras) y explican detalladamente el funcionamiento del potencial hack. Un atacante se aprovechar¨ªa de una debilidad del sistema que permitir¨ªa convertir un correo electr¨®nico en texto plano y l¨®gicamente, leer todo el contenido. El pirata inform¨¢tico deber¨ªa acceder en primer lugar a los emails cifrados (bastar¨ªa con hackear alguno de los ordenadores o el propio servidor); en ese momento y en poder de alg¨²n correo cifrado, el atacante enviar¨ªa un nuevo mail con una modificaci¨®n en dicho cifrado; en ese punto, el cliente de correo del destinatario descifrar¨ªa dicho mensaje descargando todo el contenido externo (fotograf¨ªas y dem¨¢s), dejando el texto plano al descubierto.

?Qu¨¦ puedo hacer ahora si usaba PGP? Los propios expertos proponen una serie de medidas de car¨¢cter urgente:

Desactivar las extensiones de cifrado y usar sistemas externos; es decir, copiar el contenido del correo recibido, pegarlo en una herramienta de cifrado externa, y acceder desde ah¨ª al texto, pero nunca desde dentro del propio cliente de correo cuyo plug-in PGP deber¨ªa ser desactivado.

Desactivar el HTML. EFAIL ataca directamente al HTML y contenido enriquecido de los correos (formatos, im¨¢genes, etc.), de manera que lo mejor es desactivarlo en nuestro programa de correo y leer el email en texto plano.

Estas ser¨ªan las medidas de car¨¢cter urgente que podr¨ªan adoptar por el momento los usuarios, pero para los afectados (fabricantes y reguladores de est¨¢ndares), tambi¨¦n prev¨¦n una serie de medidas que deber¨ªan llegar a medio o largo plazo. La primera de ellas consistir¨ªa en liberar parches de seguridad en las plataformas que hicieran frente a EFAIL o por lo menos, pusieran las cosas m¨¢s complicadas. La segunda es m¨¢s compleja, pero parece que estamos abocados a ella: crear unos nuevos est¨¢ndares PGP y S/MIME que solucionen el problema y logren que su uso sea completamente seguro.