Detectan nuevo fallo de seguridad en el cifrado de correo electrónico

Un equipo conformado por nueve académicos aseguran que se ha detectado un fallo de seguridad crítico en las tecnologías de cifrado del correo electrónico (OpenPGP y S/MINE), por lo que es recomendable desactivarlas cuanto antes.

El OpenPGP es un estándar que se añade a determinados clientes de correo electrónico, ofreciendo encriptación de extremo a extremo para proteger las comunicaciones vía mail. Pero también existe el S/MINE, un estándar alternativo de cifrado de extremo a extremo que habitualmente se utiliza para proteger el correo electrónico de empresas.

El fallo recién descubierto es llamado EFAIL, y básicamente permite que los hackers puedan descifrar el texto sin formato de los mensajes enviados y recibidos. Según dice el informe, la vulnerabilidad de seguridad trata lo siguiente:

«EFAIL abusa del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas. Para crear estos canales de exfiltración, el atacante necesita primero acceso a los correos electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo u ordenadores cliente. Los emails podrían incluso haber sido recopilados hace años».

«El hacker cambia un correo electrónico cifrado de una manera particular y envía este correo electrónico cifrado modificado a la víctima. El cliente de correo electrónico de la víctima descifra el email y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante».

Los investigadores dicen que por ahora no existen soluciones viables para solucionar dicho fallo, por lo que se aconseja desactivar estas herramientas de cifrado hasta que se encuentra una solución. La Electronic Frontier Foundation, organismo al que los académicos contactaron para alertar sobre el fallo, ha publicado tutoriales que explican el proceso para deshabilitar temporalmente los complementos de PGP en Thunderbrid, Apple Mail y Outlook.

Algunos expertos, medios y empresas de la industria dicen que no se trata de una vulnerabilidad PGP, sino de la implementación que hacen con algunos clientes. Según ProtonMail, el fallo se conoce desde el 2001, pero algunos clientes no sabían de su existencia, razón por la que hasta ahora toman medidas.