Advierten de un fallo de seguridad grave que afecta a PGP y S/MIME

Hasta ocho investigadores de tres universidades europeas trabajan para encontrar una solución a un fallo de seguridad que se acaba de descubrir y que afecta a PGP y S/MIME, utilizados para cifrar y proteger mensajes de correo electrónico. Esta brecha de seguridad es bastante grave, ya que permite desvelar, en texto plano, los correos electrónicos cifrados, tanto los actuales como los que se hayan enviado en el pasado.

Según el investigador Sebastian Schinzel, profesor de seguridad informática en la facultad de Ciencias Aplicadas de la Universidad de Münster, y uno de los responsables del descubrimiento, por ahora no hay ninguna solución a la brecha. Aún faltan varias horas para que se publique el informe en el que se detalla la brecha, pero Schinzel ha decidido adelantarse y dar la voz de aviso a través de las sredes sociales.

A la vista de lo sucedido, la EFF (Electronic Frontier Foundation), que no se caracteriza precisamente por comportarse de manera alarmista ante un aviso de seguridad, está aconsejando a los usuarios tanto de PGP como de S/MIME que dejen de utilizar ambos sistemas. Además, también les aconseja que deshabiliten, e incluso desinstalen, las herramientas que emplean habitualmente para cifrar correos mediante ellos.

La organización ha podido ver ya el contenido completo del informe, y a la luz de su contenido ha decidido emitir un aviso con medidas a tomar, que ha publicado en su blog. Entre ellas, pide que se deje de enviar correo cifrado con PGP hasta que se encuentre una solución para la brecha. También aconsejan no leer mensajes enviados mediante los sistemas de cifrado mencionados. Además, pide a los afectados que utilicen otros sistemas para el envío de mensajes protegidos. Entre ellos, Signal.

La EFF, que en el blog ofrece consejos para desactivar plugins de descifrado de PGP populares para clientes de correo como Outlook, Apple Mail o Thunderbird, apunta que «nuestro consejo, que es el mismo que el de los investigadores, es deshabilitar inmediatamente y/o desinstalar herramientas que desencripten automáticamente el correo cifrado mediante PGP. Hasta que haya más información sobre los fallos descritos en el informe y que estos se arreglen, los usuarios deberían prepararse para el uso de canales seguros de punto a punto, como Signal, así como para dejar de enviar, y especialmente de leer, correos cifrados mediante PGP, de manera temporal«.