Un fallo crítico en la herramienta de seguridad PGP permite leer correos cifrados
El cifrado y la seguridad informática PGP, creada por Phil Zimmermann en 1991, es posiblemente uno de las más conocidas y usadas para ocultar textos y archivos a las miradas de terceros.
Un equipo de expertos en seguridad de la Universidad de Ciencias Aplicadas de Münster, en Alemania, ha descubierto varios fallos en la herramienta PGP y el protocolo S/MIME que permiten extraer el contenido de los mensajes de correo electrónico cifrados sin conocer la clave original.
El fallo, que ha sido verificado por un equipo independiente de la Electronic Frontier Foundation (EFF), no tiene solución de momento. La recomendación del equipo de investigadores es desactivar cualquier plugin de cifrado de correos electrónicos que utilice estos sistemas, optar por otros programas de mensajería con cifrado punto a punto, como Signal, para transmitir mensajes. También borrar los correos que contengan información sensible. Incluso los mensajes enviados hace tiempo pueden ser descifrados fácilmente con esta vulnerabilidad, que han bautizado como EFAIL.
Si los usuarios necesitan seguir recibiendo correos cifrados, los responsables del estudio recomiendan usar aplicaciones externas al cliente de correo electrónico para descifrar los textos recibidos e inhabilitar el soporte para contenido HTML dentro de estos, dado que este es el vector de ataque que se usa para extraer la información de los mensajes.
Este último punto es especialmente importante en mensajes dirigidos a varias personas. Si cualquiera de los destinatarios tiene activada la opción de soporte de contenido HTML, el mensaje sigue siendo vulnerable a esta técnica.A medio plazo una actualización de los clientes de correo electrónico más utilizados y una revisión de los requisitos de seguridad de PGP y S/MIME podrían poner también freno a este tipo de ataque pero por el momento, como señala Sebastian Schinzel, uno de los descubridores del fallo, “el correo electrónico ha dejado de ser un medio seguro”.