El escándalo se conoció este fin de semana y consiste en que las personas que usan los estándares PGP o S/MIME para cifrado del email tienen su información en peligro y deberían desactivarlos de su servicio de correo electrónico.

La falla descubierta fue bautizada por los investigadores como EFAIL y baja la seguridad de los correos cifrados, y hasta para los mensajes que se enviaron años atrás. El hallazgo se dio este lunes en la mañana y lo reportó Electronic Frontier Foundation (EFF); la petición de los investigadores es que los usuarios dejen de usar PGP porque “actualmente no hay soluciones fiables contra la vulnerabilidad”. (Vea también: Así se podrá detectar fácil la cocaína en el aliento con este invento)

Sobre la amenaza, esto dijeron los investigadores al diario alemán Süddeutschen Zeitun:

“Los ataques EFAIL explotan vulnerabilidades en los estándares OpenPGP y S/MIME para revelar en texto plano los correos electrónicos cifrados. En pocas palabras, EFAIL abusa del contenido activo en el email HTML, como por ejemplo imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas. Para crear estos canales de exfiltración, el atacante primero necesita tener acceso a los correos electrónicos cifrados, por ejemplo interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo o computadoras cliente. Los correos electrónicos incluso podrían haber sido recopilados hace años.

El atacante cambia un correo cifrado de una manera determinada y envía este correo cifrado manipulado a la víctima. El cliente de correo electrónico de la víctima descifra el correo y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante”.

El artículo continúa abajo

Con base en esto, Sebastian Schinzel, profesor de seguridad informática en la Universidad de Ciencias Aplicadas de Münster, en Alemania, aseguró: “El email ya no es un medio de comunicación seguro”.

De acuerdo con Gizmodo, el estándar PGP (Pretty Good Privacy) es un programa de encriptación considerado seguro para los correos electrónicos, se desarrolla desde 1991. Está presente en servicios de email como Apple Mail, Outlook y Thunderbird.