¿Utiliza sistemas de cifrado de correo electrónico? Cuidado, son altamente vulnerables
Un grupo de expertos encabezado por Sebastian Schinzel, profesor de la seguridad informática de la Universidad de Münster de Ciencias Aplicadas (Alemania), ha encontrado una serie de vulnerabilidades en los sistemas más populares de cifrado de correo electrónico, PGP/GPG y S/MIME.
Según un tuit publicado por Schinzel, estos fallos permiten a posibles malhechores acceder al texto plano de los correos electrónicos, incluidos mensajes encriptados enviados en el pasado.
We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 14 мая 2018 г.
En otra publicación, Schinzel señaló que estas vulnerabilidades no tienen actualmente solución, citando un informe de la ONG Electronic Frontier Foundation (EFF), entidad dedicada a la protección de derechos civiles en el mundo digital.
En su comunicado sobre los fallos, el organismo destacó que "estas vulnerabilidades representan un riesgo inmediato para quienes utilizan estas herramientas para la comunicación por correo electrónico".
There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q#efail 2/4
— Sebastian Schinzel (@seecurity) 14 мая 2018 г.
Además, la ONG recomendó desactivar y/o desinstalar de inmediato las herramientas que descifran automáticamente correos electrónicos cifrados con PGP.
"Hasta que los defectos descritos se comprendan y se solucionen más ampliamente, los usuarios deben recurrir al uso de canales seguros alternativos de extremo a extremo como Signal, así como suspender temporalmente el envío y especialmente la lectura de correos electrónicos cifrados con PGP", recomendaron desde EFF.
Sin prestar más detalles, la organización señaló que divulgaría un informe completo sobre las vulnerabilidades el próximo martes 15 de mayo a las 7 de la mañana (hora UTC).