Info General

Ciberseguridad

Descubren vulnerabilidades en herramientas de cifrado de mails


Investigadores europeos de ciberseguridad encontraron una serie de vulnerabilidades en algunos servicios que usan PGP y S/MIME -protocolos que permiten cifrar los mensajes enviados por mail. Por esto, aconsejan desinstalar las herramientas que utilizan esas tecnologías en los correos electrónicos.

Las fallas fueron descubiertas en los métodos de encriptación que se pueden usar con populares aplicaciones de mail como Microsoft Outlook y Apple Mail, indicaron los responsables de la investigación que pertenecen a universidades de Alemania y Bélgica.

«Por el momento no hay arreglos confiables para la vulnerabilidad», publicó en su cuenta de Twitter el investigador principal Sebastian Schinzel, profesor de criptografía en la Univesidad de Münster en Alemania. Asimismo, agregó que si las personas «usan PGP/GPG or S/MIME para comunicaciones muy sensibles, deben desactivarlo en su cliente de correo electrónico por ahora».

Si bien el equipo revelará la investigación el martes, la organización internacional Electronic Frontier Foundation (EFF) emitió hoy un comunicado al respecto. «Estas vulnerabilidades representan un riesgo inmediato para quienes usan estas herramientas para la comunicación por mail, incluyendo la posible exposición de los contenidos de mensajes anteriores».

Por eso, aconsejó a las personas como medida preventiva a desactivar o desinstalar de «forma inmediata» las herramientas que descifren mails de forma automática con el estándar PGP. Algunos ejemplos son Enigmail en Thunderbird, Gpg4win en Outlook, y GPGTools en Apple Mail.

«PGP» (el acrónimo de Pretty Good Privacy) es una tecnología de cifrado de datos muy usada en el mundo que tiene más de 20 años y es usada, entre otros, por el ex-empleado de la NSA Edward Snowden. Mientras que «S/MIME» representa un un estándar de cifrado y firmado de mails.

En un principio, la preocupación entre los investigadores de ciberseguridad era que el problema afectaba al protocolo central de PGP, lo que significaba que todos los usos del método de cifrado (incluyendo el de cifrado de archivos), podrían ser vulnerables. Sin embargo, Werner Koch, responsable de la herramienta de cifrado y firmas digitales GNU Privacy Guard, sostuvo que EFF fue un tanto «exagerada» al abordar el asunto, según informó hoy la BBC. Agregó que la vulnerabilidad se aprovecha del uso de código HTML en el correo electrónico.