Las tecnologías en las que se sustentan las herramientas y aplicaciones que usamos todos los días deberían ser del todo seguras. De hecho, nuestra experiencia en las redes se sustenta precisamente en eso. Pero en los últimos tiempos hemos vivido algunos reveses bastante duros, que ponen en jaque los fundamentos en los que se sustenta nuestra seguridad en línea. Y sino acuérdate del virus capaz de hackear tu red WiFi.
Hoy hemos sabido que las dos tecnologías que más se usan en Internet para cifrar el correo electrónico (PGP y S/MIME) serían vulnerables a los ataques de los hackers. Y esto podría revelar el contenido de los emails o mensajes de correo electrónico que como usuarios hemos enviado y recibido.
Un investigador llamado Sebastian Schinzel, profesor de seguridad informática en la Universidad de Ciencias Aplicadas de Münster, ha explicado este fin de semana en Twitter que existen fallos de seguridad que pueden revelar el texto de los correos cifrados, incluyendo los mensajes encriptados que en algún momento hayas enviado. No importa que fuera en el pasado.
Explica este mismo profesor que no hay soluciones fiables que puedan dar solución a esta vulnerabilidad. Indica que aquellos usuarios que usen los sistemas PGP/GPG o S/MIME para sus comunicaciones tendrían que desactivarlas dentro de sus clientes de correo electrónico desde ahora mismo.
There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4
— Sebastian Schinzel (@seecurity) May 14, 2018
Los correos electrónicos, en riesgo por esta vulnerabilidad
La información fue publicada este mismo domingo por la Electronic Frontier Foundation. La fundación ha confirmado que existe un peligro patente e inmediato para todos aquellos que usan estas herramientas (PGP y S/MIME) en sus buzones de correo electrónico. Y es que no solo podrían quedar expuestos los correos que envíen en este preciso momento, sino también todos los que hubieran intercambiado con anterioridad.
Recomiendan a los afectados a desactivar o desinstalar todas las herramientas que se encargan de descifrar el correo electrónico cifrado con PGP. Y emplazan a los usuarios a usar canales de cifrado de extremo a extremo como Signal. Hay que frenar, en este sentido, el envío de emails a través de PGP. Y hacerlo hasta que no exista una solución efectiva para esta vulnerabilidad.
Mensajería confidencial, sistemas afectados
Cuando el común de los usuarios enviamos correo electrónico, lo hacemos a través de herramientas como Gmail o Outlook. Es una manera muy práctica de transferir información y archivos. Sin embargo, cuando las empresas o los usuarios quieren enviar documentos confidenciales, pueden hacerlo a través de sistemas PGP o S/MIME.
Al usar este sistema, los remitentes se aseguran de que nadie puede interceptar el mensaje. Pero esta vulnerabilidad cambiaría las cosas y mucho, porque todos los correos enviados ahora y en el pasado podrían ser descubiertos. Afortunadamente, las vulnerabilidades no han sido publicadas, de modo que los proveedores de estos servicios tendrán un tiempo prudencial para idear soluciones que aseguren la confidencialidad de los usuarios de estos sistemas de cifrado.
Mientras esperamos una solución, se recomienda desactivarlos de inmediato. Los usuarios que no sepan muy bien cómo hacerlo, pueden leer aquí las instrucciones para hacerlo en Outlook, Thunderbird o macOS Mail con capturas gráficas. Mientras tanto, y a falta de resolución, mejor usar Signal.