El cifrado de emails ha sido en nuestra historia reciente una de las mejores alternativas, sobre todo a nivel empresarial, para poder llevar a cabo comunicaciones confidenciales de manera segura. Todos sabíamos que no tenía por qué ser la panacea de la ciberseguridad empresarial, pero en términos generales pensábamos que se trataba de la mejor opción para proteger las comunicaciones.
Sin embargo, nada es infalible. Prácticamente ninguna tecnología resiste el paso del tiempo, tampoco las que creíamos más fiables. Y si no, que se lo digan a los creadores de los protocolos PGP/GPG y S/MIME. La polémica tiene un nombre: EFail.
¿Quién tiene la culpa en el caso EFail?
Según un grupo de investigadores especializados en ciberseguridad, ambos protocolos estarían afectados por una grave vulnerabilidad que permitiría acceder al contenido de los emails que, aparentemente, permanecían cifrados e inexpugnables. La polémica ha cobrado una dimensión aún mayor con la confirmación por parte de la Electronic Frontier Foundation (EFF), que ha dado legitimidad a la investigación realizada y a las sospechas de seguridad.
No es cosa de poco: el usuario medio seguramente ni conozca los protocolos PGP/GPG y S/MIME, pero lo cierto es que son los más usados a la hora de cifrar comunicaciones. La práctica está especialmente extendida en el ámbito empresarial, donde la confidencialidad de los emails hace imprescindible recurrir a este tipo de herramientas que ahora han quedado en entredicho.
Pero la batalla no ha acabado aquí. El creador del protocolo PGP, Phil Zimmermann, no está de acuerdo con el diagnóstico. En una lista de correo, asegura que las sospechas sobre su tecnología son totalmente infundadas: según su versión, las vulnerabilidades detectadas en absoluto afectan a su protocolo, sino más bien a la implementación que diversos clientes de correo electrónico (Mozilla Thunderbird, iOS Mail o Apple Mail) han realizado.
Para Werner Koch, otro de los desarrolladores ‘señalados’ por la polémica, el problema tampoco radica en el protocolo en cuestión, sino en el uso de código HTML en la redacción y visualización de correos, una práctica que, según él, sería la auténtica responsable de las vulnerabilidades.
¿Y ahora qué hacemos?
Más allá de las acusaciones cruzadas, la pregunta está en el aire: ¿qué podemos hacer ante estas noticias? Si una empresa se creía a salvo de filtraciones gracias al uso de protocolos PGP/GPG o S/MIME, ¿está ahora en peligro la ciberseguridad empresarial que creía a salvo? Y sobre todo, ¿qué debe hacer para mitigar el problema?
La EFF está ofreciendo en las últimas semanas algunas recomendaciones para que las empresas afectadas puedan proteger su ciberseguridad y evitar posibles accesos indeseados a sus comunicaciones electrónicas:
1.- ‘Desactivar’ las vulnerabilidades
La EFF da cierto crédito a la teoría de Zimmermann de que, para librarse de las vulnerabilidades de estos protocolos, lo mejor no es librarse de ellos, sino actuar en el centro del propio cliente de correo. Para ello, la fundación ofrece varios tutoriales para evitar problemas si una empresa ha venido recurriendo a plataformas como Gpg4win o GPGTools, entre otras.
2.- Prescindir del HTML
Si la inserción de código HTML en el uso del correo electrónico es una de las máximas responsables de las vulnerabilidades, quizá lo mejor sea prescindir de este renderizado. Esto solo servirá como medida temporal, ya que, mientras tanto, la EFF asegura que seguirá investigando la forma de mejorar la seguridad de los protocolos afectados.
3.- Recurrir a otras formas de cifrado
En cualquier caso, la Electronic Frontier Foundation considera que el cifrado que ofrecen los protocolos PGP/GPG y S/MIME quizá no sea el mejor. Como alternativa, la entidad propone a las empresas y usuarios recurrir a cifrados de extremo a extremo que, en los últimos tiempos, han demostrado adaptarse a la perfección a las posibles vulnerabilidades que puedan surgir. El mejor ejemplo, en su opinión, es el de Signal.
La pelota, por tanto, ahora está en el tejado de los desarrolladores y expertos que deberán proporcionar parches que solucionen el problema, pero conviene que las empresas no descuiden su propia ciberseguridad. Esta situación demuestra que el cifrado no es una garantía de que las comunicaciones sean 100% seguras y, por tanto, las empresas deben adoptar medidas para proteger sus sistemas ante posibles ataques que aprovechen la información interceptada en emails. Si quieres contar con una herramienta que te ayude a evitar visitas no deseadas, puedes probar Panda Adaptive Defense, que te ayudará a sellar las puertas de la seguridad informática de tu compañía.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
2 comments
Saludos
A qué sé refiere esté comentario?
Gracias
Hola Francisco José,
¿A qué comentario te refieres? ¿Cómo podemos ayudarte?
¡Gracias por leernos!
Saludos,
Panda Security.