Menú

Vulnerabilidades críticas en PGP y S/MIME

¿Qué es PGP y S/MIME?

Pretty Good Privacy (PGP) fue desarrollado por Phil Zimmermann en 1991, y tiene una enorme importancia ya que es posiblemente el software de cifrado de datos más extendido del mundo para las comunicaciones de datos a través de Internet. Son las siglas de un programa que sirve para cifrar y descifrar datos, de tal manera que solo se pueda acceder a ellos mediante una clave pública, con el objetivo de ofrecer un mecanismo de autenticación para algunas comunicaciones y mejorar la privacidad de las mismas.

Secure/Multipurpose Internet Mail Extensions (S/MIME) fue desarrollado originalmente por RSA y es una tecnología que le permite cifrar sus correos electrónicos. S/MIME está basado en los principios de la criptografía asimétrica y su finalidad es proteger sus correos electrónicos frente a accesos no deseados. Además, esta tecnología le permite firmar digitalmente sus correos electrónicos para autenticarse como el remitente legítimo de sus mensajes, lo cual la convierte en una eficaz arma contra los numerosos ataques de phishing que se producen cada día en Internet.

El descubrimiento de una vulnerabilidad por un grupo europeo de investigación, entre los que se encuentran miembros de DROWN Attack, obliga a desactivar de inmediato los plugins para el descifrado de emails mediante PGP y S/MIME. Se especifican en concreto los siguientes plugins:

  • Thunderbird con Enigmail
  • Apple Mail con GPGTools
  • Outlook con Gpg4Win

Sobre el fallo

Es necesario aclarar, que el fallo no se encontraría en GPG, el cual sigue siendo seguro tal y como ha asegurado GnuPG en Twitter, sino en el parseador que utilizan los plugins para detectar errores en el descifrado.

Estos expertos de seguridad recomiendan a todos los usuarios dejar de utilizar cuanto antes PGP y S/MIME y deshabilitar por completo las extensiones relacionadas con ellos hasta que las vulnerabilidades sean solucionadas. Si no sabemos cómo hacerlo, la EFF nos facilita varias guías para deshabilitar los complementos relacionados con estas técnicas en ThunderbirdmacOS Mail y Outlook.

Por el momento no existe ninguna solución a estos fallos de seguridad, por lo que todos los usuarios que utilicen alguna de estas técnicas están afectados, siendo posible descifrar sus correos cifrados y acceder así a todo el contenido de los mismos sin demasiada dificultad.

Por suerte, los expertos de seguridad que han descubierto estas vulnerabilidades no las han hecho públicas, sino que han sido reportadas de forma completamente privada a los responsables a la espera de su análisis y posterior corrección.

Mañana se debería publicar la información técnica sobre estas vulnerabilidades. A cambio, si tenemos que comunicarnos con otras personas de manera oculta recomiendan utilizar otras alternativas con cifrado de extremo a extremo como Signal.

Desactivar PGP en Outlook

Desactivar PGP en Outloot requiere que ejecutes el instalador de Gpg4win nuevamente. Descargar Gpg4win.exe y ejecuta el programa. Cuando aparezca la primera ventana del instalador selecciona siguiente, y cuando tengas que seleccionar los componentes, desmarca la casilla de GpgOL y presiona siguiente.

Haz click nuevamente en instalar, y finaliza el proceso. Una vez hecho esto el plugin de GpgOL estará desactivado y tus emails no se descifrará automáticamente en Outlook.

Desactivar PGP en Apple Mail

Primero debes asegurarte de cerrar Apple Mail. Haz click derecho sobre sobre el icono en el dock y selecciona “Salir”. Luego haz click en el icono de Finder y en el menú seleccionar Ir y luego Ir a la carpeta… (⌘ + ⇧ + C).

Escribe: /Library/Mail/Bundles o ~/Library/Mail/Bundles y busca la carpeta con el archivo “GPGMail.mailbundle“. Una vez que lo localices muévelo a la papelera y si escribe tu contraseña si el sistema te lo pide.

Desactivar PGP en Thunderbird

Para desactivar PGP en Thunderbird lo único que tienes que hacer es deshabilitar el complemento Engmail. Haz click en el botón de menú (el que tiene tres linea horizontales) y selecciona Complementos.

En tu lista de extensiones busca Enigmail y haz click en el botón Deshabilitar. Esto hará que el cliente de correo se desconecte de PGP y que tus correos cifrados con PGP no se descifren automáticamente.