Expertos en la materia han alertado de que la comunicación vía email está en peligro. Un equipo de nueve académicos ha advertido que se ha detectado un fallo de seguridad crítico en las tecnologías de cifrado de correo OpenPGP y S/MINE.
Si estás utilizando alguna de ellas, es recomendable que las desactives cuanto antes.
Fallo de seguridad crítico en el cifrado de emails
La tecnología OpenPGP es un estándar de cifrado que ofrece encriptación de extremo a extremo, para proteger las comunicaciones.
S/MINE es un estándar alternativo que habitualmente se usa para proteger los correos electrónicos corporativos.
La vulnerabilidad detectada ha sido bautizada con el nombre EFAIL. Los atacantes pueden descifrar textos sin formato de los mensajes enviados y recibidos.
EFAIL abusa de los contenidos activos de los correos HTML, como las imágenes o los estilos cargados externamente, para filtrar el texto sin formato a través de las URLs solicitadas.
El atacante, primero accede a los correos electrónicos encriptados, interceptando el tráfico de la red y comprometiendo algunas de las cuentas de correo, o los servidores de esos correos y sus sistemas de respaldo de los ordenadores de los clientes.
El atacante cambia los correos electrónicos cifrados de una forma muy particular y los reenvía modificados a la víctima seleccionada. El cliente de correo electrónico de la víctima descifra el email y procede a cargar cualquier tipo de contenido externo.
Aún no hay solución para el fallo de seguridad
Desafortunadamente y por el momento, no hay soluciones para este fallo crítico de seguridad. Se aconseja desactivar estas herramientas de cifrado hasta que se descubra la manera de solucionarlo.
La Electronic Frontier Foundation ha publicado tutoriales que explican cómo deshabilitar los complemenetos de PGP en Thunderbird, Apple Mail y Outlook.
Sin embargo, otros especialistas indican que no se trata de una vulnerabilidad del protocolo PGP, sino de la implementación equivocada que realizan algunos de los clientes.
Es así que entienden que, desactivar los servicios, no es una recomendación segura.