PGP, o Pretty Good Privacy, es un estándar abierto de cifrado de punto a punto usado para proteger emails para que nadie pueda tener acceso a tus emails; ni tu empresa, ni el gobierno, ni hackers. Esta protección, que hasta ahora se creía impenetrable, ha sido hackeada por un equipo de investigadores europeos.

Investigadores europeos rompen la protección de PGP y S/MIME

Este equipo ha lanzado una alerta general después de haber descubierto una serie de vulnerabilidades críticas tanto en PGP como en S/MIME, utilizados para cifrar emails, las cuales permitirían revelar el contenido de nuestros correos electrónicos en texto plano. Las vulnerabilidades también afectan los emails cifrados que hayamos enviado en el pasado.

S/MIME (Secure/Multipurpose Internet Mail Extensions), por otra parte, es otro estándar de criptografía asimétrica que permite a los usuarios enviar emails cifrados y con firma digital. Ambas protecciones han quedado totalmente vulnerables, y según afirma Sebastian Schinzel, de la Universidad de Münster, no existe de momento ningún parche ni solución fiable para las vulnerabilidades.

La Electronic Frontier Foundation (EFF) ha confirmado la existencia de estas vulnerabilidades, y ha recomendado a los usuarios desinstalar todas las herramientas de cifrado PGP y S/MIME hasta que estos fallos sean parcheados. La EFF ha estado en contacto con los investigadores y han confirmado que las vulnerabilidades suponen un grave riesgo para los usuarios y sus comunicaciones a través de email, pudiendo desvelarse su contenido.

There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4

— Sebastian Schinzel (@seecurity) May 14, 2018

No uses PGP en tus emails, ni leas los que hayas cifrado con él hasta que lo arreglen

Por tanto, lo más recomendable que podemos hacer actualmente es dejar de enviar y leer emails cifrados con PGP, y usar herramientas alternativas que sepamos que de momento son seguras para comunicarse, como Signal.

La publicación de todos los detalles sobre las vulnerabilidades se realizará mañana día 15 a las 9:00. Por lo que los investigadores han publicado de momento, se intuye que la vulnerabilidad no está presente en el algoritmo de cifrado, sino en la forma en la que funcionan las herramientas de descifrado y los plugins para implementar estos métodos de protección.

Entre estos plugins encontramos Thunderbird en Enigmail, GPGTools con Apple Mail, o Gpg4win en Outlook. La EFF ha publicado guías sobre cómo desinstalar cada uno de estos plugins, lo cual tendremos que hacer de manera temporal hasta que el riesgo haya pasado y los fallos hayan sido subsanados.