Seria vulnerabilidad en cifrado PGP y S/MIME expone millones de correos electrónicos

Seria vulnerabilidad en cifrado PGP y S/MIME expone millones de correos electrónicos

Fallos críticos permiten que los atacantes lean correos electrónicos confidenciales

Un equipo de nueve investigadores europeos acaba de descubrir vulnerabilidades críticas en el cifrado PGP y S/MIME. Atacantes pueden leer los correos electrónicos que hasta hace poco gozaban de gran seguridad.

Si bien los correos electrónicos están protegidos por el protocolo criptográfico TLS, PGP y S/MIME. EFF ofrece un cifrado de extremo a extremo para comunicaciones sensibles o altamente confidenciales.

Los investigadores anunciaron un tipo de ataque llamado EFAIL, que explota vulnerabilidad en los estándares OpenPGP y S/MIME para revelar el texto de correos electrónicos cifrados. Según consignaron los expertos, el alcance es serio:

Hay dos sabores del ataques EFAIL. En primer lugar, el ataque de exfiltración directa aprovecha las vulnerabilidades en Apple Mail, iOS Mail y Mozilla Thunderbird; funcionan para PGP así como para correos electrónicos S/MIME. En tanto, CBC/CFB Gadget Attack abusa de las vulnerabilidades en la especificación de OpenPGP y S / MIME para filtrar el texto sin formato.

 

El anuncio ya ha tenido repercusiones y recientemente la cuenta oficial de la GNU Privacy Guard mencionó que “la vulnerabilidad está en los clientes de correo y no en los protocolos. De hecho, OpenPGP es inmune si se usa correctamente mientras que S / MIME no tiene mitigación desplegada":

Los investigadores dijeron que este martes por la mañana emitirán un informe detallado sobre la forma de explotar las vulnerabilidad y que de momento recomiendan inhabilitar plugins de PGP e inclinarse por otros canales seguros que usen cifrado de extremo a extremo.