Una nueva investigación encontró una vulnerabilidad con la que los emails quedan al descubierto, incluso si están cifrados.
Cromo - El Observador. Un grupo de investigadores descubrió un fallo en la seguridad de los correos cifrados en texto plano, a la que nombraron EFAIL. Esta vulnerabilidad afecta inmediatamente a PGP o S/MIME.
Tanto "Pretty Good Privacy" (PGP) como Secure / Multipurpose Internet Mail Extensions (S/MIME), protegen la información distribuida usando la criptografía de clave pública y firmado de correo electrónico. Estas herramientas son utilizadas especialmente por periodistas, activistas políticos y denunciantes para enviar información con un alto grado de confiabilidad y evitar así el acceso de atacantes poderosos, como las agencias estatales nacionales.
Sin embargo, se ha demostrado que no son tan inaccesibles como parece. "Los ataques EFAIL rompen el cifrado de correo electrónico PGP y S/MIME al obligar a los clientes a enviar el texto completo de los correos electrónicos al atacante", explica el documento de EFAIL.
"El email ya no es un medio de comunicación seguro", explicó Sebastian Schinzel, profesor de seguridad informática en la Universidad de Ciencias Aplicadas de Münster, en Alemania, al diario alemán Süddeutschen Zeitun. Según EFF, estas vulnerabilidades representan un riesgo inmediato para quienes utilizan estas herramientas para la comunicación por correo electrónico, incluida la posible exposición de los contenidos de mensajes anteriores.
¿Qué hacer?
Electronic Frontier Foundation, recomendó desactivar o desinstalar herramientas que descifran automáticamente el correo electrónico cifrado con PGP. Hasta que los defectos descritos en el documento se comprendan y se solucionen más ampliamente, los usuarios deben organizar el uso de canales seguros alternativos de extremo a extremo, como Signal, y detener temporalmente el envío y especialmente leer el correo electrónico cifrado por PGP.
¿Cómo funciona EFAIL?
Según los datos de la investigación, EFAIL abusa del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas.
Para crear estos canales de exfiltración, el atacante primero necesita acceso a los correos electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo o computadoras cliente.
Los correos electrónicos incluso podrían haber sido recopilados hace años. El atacante cambia un correo electrónico cifrado de una manera particular y envía este correo electrónico cifrado cambiado a la víctima. El cliente de correo electrónico de la víctima descifra el correo electrónico y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante.