El Observador +

Este sitio está optimizado para 1024 x 768 o superior.

Ir a la versión Mobile

7º C

Montevideo
H 81 %

Buscar

Viernes 20 de Julio de 2018

Ver Páginas
Buscar

Noticias en la web - EFAIL

Noticias en la web - EFAIL | Edición del día Sábado 21 de Julio de 2018

Ni los correos encriptados se salvan: ahora también pueden ser hackeados

Una investigación encontró una vulnerabilidad mediante la cual el correo electrónico quedaría al descubierto a pesar de estar cifrado

Un grupo de investigadores descubrió un fallo en la seguridad de los correos cifrados en texto plano, a la que nombraron EFAIL. Esta vulnerabilidad afecta inmediatamente a PGP o S/MIME.

Tanto "Pretty Good Privacy" (PGP) como Secure / Multipurpose Internet Mail Extensions (S/MIME), protegen la información distribuida usando la criptografía de clave pública y firmado de correo electrónico. Estas herramientas son utilizadas especialmente por periodistas, activistas políticos y denunciantes para enviar información con un alto grado de confiabilidad y evitar así el acceso de atacantes poderosos, como las agencias estatales nacionales.

Sin embargo, se ha demostrado que no son tan inaccesibles como parece. "Los ataques EFAIL rompen el cifrado de correo electrónico PGP y S/MIME al obligar a los clientes a enviar el texto completo de los correos electrónicos al atacante", explica el documento de EFAIL.

hackers2col.JPG
"El email ya no es un medio de comunicación seguro", explicó Sebastian Schinzel, profesor de seguridad informática en la Universidad de Ciencias Aplicadas de Münster, en Alemania, al diario alemán Süddeutschen Zeitun. Según EFF, estas vulnerabilidades representan un riesgo inmediato para quienes utilizan estas herramientas para la comunicación por correo electrónico, incluida la posible exposición de los contenidos de mensajes anteriores.

¿Qué hacer?

Electronic Frontier Foundation, recomendó desactivar o desinstalar herramientas que descifran automáticamente el correo electrónico cifrado con PGP. Hasta que los defectos descritos en el documento se comprendan y se solucionen más ampliamente, los usuarios deben organizar el uso de canales seguros alternativos de extremo a extremo, como Signal, y detener temporalmente el envío y especialmente leer el correo electrónico cifrado por PGP.

¿Cómo funciona EFAIL?

Según los datos de la investigación, EFAIL abusa del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas.

Para crear estos canales de exfiltración, el atacante primero necesita acceso a los correos electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo cuentas de correo electrónico, servidores de correo electrónico, sistemas de respaldo o computadoras cliente.

Los correos electrónicos incluso podrían haber sido recopilados hace años. El atacante cambia un correo electrónico cifrado de una manera particular y envía este correo electrónico cifrado cambiado a la víctima. El cliente de correo electrónico de la víctima descifra el correo electrónico y carga cualquier contenido externo, lo que exfiltra el texto sin formato al atacante.

Ingreso Usuarios

Mensaje de error

Enviando...

Olvidé mi Contraseña

Ingresa tu casilla de e-mail para reestablecer tu contraseña.

Enviar

Aviso de suscripción

Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.