No hay día que no nos enteremos de una mala noticia respecto a nuestra privacidad y seguridad. Hoy hemos sabido que las herramientas que desde hace años han servido para encriptar nuestro correo electrónico ha permitido a cualquier atacante experto falsificar nuestras firmas digitales. Y hacerlo, además, con una clave pública.
El fallo de seguridad se encuentra justamente en el sistema PGP. Si no eres experto en encriptación, es posible que no te suene, pero es fácil de entender. Se trata de una de las herramientas más conocidas a la hora de ocultar textos y archivos para que terceros no puedan acceder a ellos. Su origen es antiguo: fue en 1991 cuando Phil Zimmermann la dio a conocer.
Ahora un experto en seguridad ha dado la noticia de que este sistema no es seguro, después de que herramientas como GnuPG, ENigmail, GPGTools y phyton-gnupg se hayan actualizado para corregir la vulnerabilidad.
Pero, ¿sabes qué son las firmas digitales y para qué sirven? Si tu respuesta es no, debemos contarte que las firmas digitales se usan para verificar la fuente de un mensaje cifrado, una copia de seguridad o una actualización de software. Estas claves de cifrado, que en principio son privadas, permiten a la fuente mostrar determinados mensajes o la firma de los archivos.
Una vulnerabilidad llamada SigSpoof
La vulnerabilidad en cuestión ya tiene nombre. Se llama Sigpoff y podría hacer que en algunos casos, aquellos que quieren atacar puedan falsificar las firmas digitales. Para hacerlo necesitarían la clave que te hemos indicado, que sería pública o de otra persona. En cualquier caso, lo más habitual es conseguirla a través de Internet.
Y es ahí cuando se pueden realizar envíos de correos electrónicos fraudulentos, cuyos fines te puedes imaginar. Detectar que se trata de un mensaje malicioso no estaría al alcance de cualquiera, de modo que engañar a los usuarios para aprovecharse de ellos podría resultar enormemente sencillo.
El fallo en cuestión se ha dado a conocer con el siguiente código: CVE-2018-12020 y sería tan grave, que durante muchos años habría podido afectar a los comunicaciones de los usuarios. Hoy sabemos que el intercambio de correos electrónicos podría haber sencillamente fraudulento. Cualquiera podría haber mandado mensajes de origen falso y sus receptores, haber confiado en los mismos.
Marcus Brinkmann es el hombre que descubrió SigSpoof y alerta de que este fallo no solo podría haber afectado a los sistemas de correo electrónico. De hecho, sus efectos irían más allá, en el sentido de que la vulnerabilidad GnuPG podría haber afectados a las actualizaciones de software, las copias de seguridad y otros sistemas de control para software.
Un intrincado sistema de suplantación
Tal como ha explicado este experto, tras haber habilitado una opción de configuración llamada verbose, podrían ejecutarse hasta tres ataques de suplantación de identidad que podrían funcionar para el correo electrónico, las actualizaciones de software y posiblemente contra muchas otras herramientas adicionales.
A partir de ahí, el sistema de suplantación ocultaría los metadatos en un correo electrónico cifrado. Las aplicaciones responsables de la gestión verificarían la firma sin problema alguno, de modo que podrían mostrar que un correo electrónico ha sido firmado y encriptado por una fuente determinada – la que haya elegido el atacante – para engañar al receptor. Como te hemos indicado, a los hackers les bastaría con una clave pública o una identificación de clave.
Lamentablemente, el experto reconoce que esta vulnerabilidad lleva años abriendo las puertas a malintencionados hackers. Sus orígenes se remontan a 1998 con GnuPG 0.2.2. El impacto habría sido distinto con el tiempo y por suerte, en estos momentos, hay parches listos por parte de casi todos los desarrolladores: GnuPG versión 2.2.8, Enigmail 2.0.7, GPGTools 2018.3 y python GnuPG 0.4.3. De hecho, solo ha comunicado la existencia de esta vulnerabilidad después de que se haya presentado la solución a la incidencia.
