La mayoría de plataformas de correo electrónico utilizan protocolos de encriptación que permiten proteger todas las comunicaciones que se producen de punto a punto, evitando que nuestros mensajes puedan ser interceptados por potenciales ciberdelincuentes. Uno de los mecanismos más comunes es la tecnología PGP (Pretty Good Privacy)… pero ahora está en entredicho.

Una investigación de la Universidad de Ciencias Aplicadas de Munster reveló que los hackers podrían atacar al PGP/GPG y S/MIME debido a una vulnerabilidad que afecta al protocolo central de esta tecnología. Dicho de otro modo: si alguien aprovechara este agujero de seguridad, todos los demás usos de este sistema de encriptado se verían expuestos.

OpenPGP ofrece encriptación de extremo a extremo específicamente para comunicaciones sensibles, mientras que S / MIME es un estándar alternativo para el cifrado de extremo a extremo del correo electrónico que normalmente se utiliza para proteger la comunicación del correo electrónico corporativo.

Por eso, este hallazgo -que ha quedado plasmado en una página web (efail.de)- es de tan enorme gravedad. En concreto, los ataques podrían abusar del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas.

Para crear estos canales de exfiltración, el atacante primero necesita acceso a los correos electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo o computadoras cliente. Los correos electrónicos incluso podrían haber sido recopilados hace años.

El atacante cambia un correo electrónico cifrado de una manera particular y envía este correo electrónico cifrado modificando a la víctima. El cliente de correo electrónico de la víctima descifra el correo electrónico y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante.

Existe bastante confusión acerca del calado de esta amenaza. Mientras que algunos expertos aseguran que el agujero de seguridad no tiene solución, otros afirman que está perfectamente parcheado por las últimas versiones de GnuPG. Igualmente, se comparten en la Red supuestos parches que solventan este problema para plataformas como Outlook, Thunderbird o Apple Mail.