Cuando queremos mandar un correo electrónico a otra persona, generalmente solemos utilizar las clásicas plataformas de correo electrónico, como Gmail u Outlook, entre otras, para enviarlo de la forma más rápida y sencilla posible. Sin embargo, cuando lo que queremos mandar es algo confidencial, entonces es necesario recurrir a técnicas complementarias que nos permitan cifrar los correos para evitar que, salvo el receptor, nadie pueda leerlos. Los métodos más utilizados para cifrar los correos son PGP y S/MIME.

PGP (Pretty Good Privacy) y S/MIME son las dos técnicas más utilizadas por los usuarios preocupados por su privacidad para poder cifrar los correos antes de mandarnos de manera que estos viajen completamente cifrados de extremo a extremo, impidiendo que ni el propio servidor de correo ni una persona que pueda interceptar el mensaje puedan leerlo.

Aunque estas dos técnicas se han estado utilizando mucho tiempo, y no ha habido problemas relevantes, hace algunas horas se han dado a conocer varios fallos de seguridad muy graves en PGP y en S/MIME que pueden revelar a cualquiera el contenido de cualquiera de los mensajes confidenciales.

Todos los correos, incluso los enviados en el pasado, pueden ser descifrados por el fallo en PGP y S/MIME

Los fallos de seguridad descubiertos en estas dos técnicas de cifrado de correos no solo afectan a los nuevos correos que se envíen ahora mismo, sino que también exponen todos los correos que han sido enviados con estas técnicas en el pasado.

Por el momento no existe ninguna solución a estos fallos de seguridad, por lo que todos los usuarios que utilicen alguna de estas técnicas están afectados, siendo posible descifrar sus correos cifrados y acceder así a todo el contenido de los mismos sin demasiada dificultad. Por suerte, los expertos de seguridad que han descubierto estas vulnerabilidades no las han hecho públicas, sino que han sido reportadas de forma completamente privada a los responsables a la espera de su análisis y posterior corrección.

Estos expertos de seguridad recomiendan a todos los usuarios dejar de utilizar cuanto antes PGP y S/MIME y deshabilitar por completo las extensiones relacionadas con ellos hasta que las vulnerabilidades sean solucionadas. Si no sabemos cómo hacerlo, la EFF nos facilita varias guías para deshabilitar los complementos relacionados con estas técnicas en Thunderbird, macOS Mail y Outlook.

Mañana se debería publicar la información técnica sobre estas vulnerabilidades. A cambio, si tenemos que comunicarnos con otras personas de manera oculta recomiendan utilizar otras alternativas con cifrado de extremo a extremo como Signal.

¿Qué opinas de estas vulnerabilidades en los protocolos PGP y S/MIME?