PGP de Nuevo

fsf

El 29 de mayo publiqué un artículo de la EFF sobre ciertas vulnerabilidades de PGP, la FSF ha respondido a este artículo y resulta conveniente su publicación. El problema parece que no es un defecto en GPG y no hay necesidad de dejarse arrastrar por el pánico o dejar de utilizar GPG, incluido el firmado de correos electrónicos, ni cifrar y descifrar archivos fuera de tu cliente de correo. Aquí están los hechos..

duduCómo defender tus correos electrónicos cifrados contra miradas indiscretas

por Georgia Young – Publicado el Jun 07, 2018 03:03 PM

En mayo, un borrador técnico publicado en efail.de recomendó que la gente dejara de usar los plugins GPG para encriptar su correo electrónico. Al mismo tiempo, la Electronic Frontier Foundation (EFF) dio la alarma sobre supuestas nuevas vulnerabilidades en GPG (GNU Privacy Guard), haciéndose eco de las recomendaciones del documento. Otros redujeron aún más esta recomendación a una simple abreviatura: deje de encriptar su correo electrónico, porque no es seguro. (la EFF ha modificado sus recomendaciones desde entonces, dependiendo del cliente de correo y del plugin GPG que se use, y con advertencias que coinciden con algunas de las sugerencias que haremos aquí).

Mucha de esta información no es nueva. El problema no es una falla en GPG, y no hay necesidad de asustarse o descontinuar el uso de GPG, incluyendo la firma de correos electrónicos o el cifrado y descifrado de archivos fuera de tu cliente de correo electrónico. He aquí los hechos:

El documento EFAIL describe varios métodos de ataque: “EFAIL abusa del contenido activo de los emails HTML, por ejemplo, imágenes o estilos cargados externamente, para extraer texto plano a través de URLs solicitadas.” El atacante accede a los correos electrónicos cifrados, “escuchando oculto el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de copia de seguridad u ordenadores cliente. Los correos electrónicos podrían haber sido recogidos hace años“. El atacante cambia el correo electrónico cifrado, lo envía al destinatario, y si el cliente de correo del destinatario descifra ese mensaje y carga automáticamente cualquier contenido externo, o los usuarios hacen clic en los enlaces HTML, el texto sin formato del correo electrónico es visible para el atacante.

Werner Koch, autor principal de GPG, describe la situación aquí. Diciendo que las advertencias para que se deje de usar GPG “son exageradas”, Koch señala que el verdadero problema es que HTML se puede explotar en los correos electrónicos. Esto no es un bug de GPG.

¡Trabajemos juntos para que el correo electrónico sea más seguro!

Esta información ha estado disponible durante mucho tiempo, pero vale la pena repetirlo: si tu cliente de correo renderiza HTML o carga automáticamente imágenes y otros medios remotos, eres más vulnerable. Los exploits EFAIL no sólo aprovechan el HTML en el correo electrónico, sino que el HTML en tu cliente de correo puede permitir que otros te sigan la pista. La explotación de este defecto puede ser tan simple como ver si has leído un correo electrónico en particular, o tan perjudicial como estafarte, tal vez fingiendo ser su banco u otro comerciante con el que haces negocios, lo que le lleva a proporcionar información personal o pago a un atacante.

Estás mejor protegido si tu cliente de correo no renderiza imágenes HTML o de carga automática y otros medios remotos. Además, no hagas clic en los enlaces de los mensajes de correo electrónico HTML directamente, cópialos y pégalos para que puedas ver cuáles son primero, y si son enlaces ofuscados o acortados, no los visites a menos que tengas mucha confianza en la fuente. Es importante animar a tus compañeros a seguir estas prácticas también, porque los ataques EFAIL pueden afectarle a pesar de las precauciones que hayas tomado, si alguien que está registrado en el correo electrónico no ha tomado las precauciones adecuadas.

Además, asegúrate de que tu cliente de correo, o cualquier plugin de cifrado que utilices, es resistente a esta vulnerabilidad. Por ejemplo, Enigmail, un plugin GPG que funciona con Thunderbird, se actualizó poco después de que se hiciera público el informe EFAIL, y se puede encontrar una explicación de los cambios realizados aquí — ten en cuenta que Enigmail recomienda desactivar también HTML renderizado. Busca información sobre cómo tu cliente de correo o plugin de encriptación está tratando esta situación, y envínos un correo electrónico a campaigns@fsf.org para compartir lo que encuentre. Podemos enlazar esa información aquí.

Por ahora, en lugar de renunciar a la encriptación, tómatee el tiempo de consultar con las personas con las que deseas intercambiar correos electrónicos. Empieza enviando un claro mensaje de texto diciendo:

  • Me gustaría enviarte un mensaje usando GPG, pero primero quiero asegurarme de que has actualizado tu versión de Enigmail, debido al potencial de explotación de clientes de encriptación defectuosos que aquí se describe: https://www.efail.de/. ¿Puedes confirmarlo? Además, deshabilitar HTML y la carga remota de medios, en tu correo electrónico ayuda a evitar la explotación del correo electrónico: https://www.fsf.org/blogs/community/how-to-defend-your-encrypted-emails-against-prying-eyes. Si todo el mundo toma estas medidas para que su propio correo electrónico sea más seguro, todos nos beneficiaremos de unas comunicaciones más seguras. Gracias por ayudarnos a asegurarnos de que nuestros correos electrónicos se mantengan privados.

Este tipo de ataque sólo funciona cuando el atacante se te dirige de forma individual o si está escribiendo a alguien que es el objetivo y está utilizando un cliente de correo no parcheado. Si tienes razones para creer que, como individuo, podrías ser un objetivo, es posible que necesites tomar medidas adicionales a las que se describen aquí. Pero para la mayoría de la gente, todavía tiene sentido utilizar el cifrado GPG para reducir drásticamente la probabilidad de que cualquier atacante pueda leer su correo electrónico, y para ayudar a aumentar la cantidad total de tráfico de correo electrónico cifrado en Internet – una táctica que ayuda a proteger a los denunciantes, periodistas, y otros cuyo tráfico de correo electrónico es probable que sea objeto de explotación.

¿Quieres empezar a encriptar tu correo electrónico, pero no sabes por dónde empezar, o ayudar a tus amigos a empezar por primera vez? Hemos creado Email Self Defense para ayudarte a comienzar con el cifrado GPG. La guía se mantiene actualizada con las respuestas a las demandas como las planteadas en el informe EFAIL, para garantizar que sepas exactamente cuál es la mejor manera de mantener seguras tus comunicaciones por correo electrónico.

 

Un comentario en “PGP de Nuevo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: