‘PGP‘ es al acrónimo de Pretty Good Privacy (algo así como Privacidad Bastante Buena en español), una tecnología de cifrado de datos con más de 20 años. Por otro lado, ‘S/MIME‘, un estándar de cifrado y firmado de correos electrónico, tiene también bastantes años y reputación en cuanto a la protección de información tras sus espaldas. Ahora, se ha descubierto que estas dos tecnologías tienen una vulnerabilidad que permite descifrar los mensajes enviados a través de ellas.
Es decir, que enviar o recibir correos electrónicos mediante PGP o S/MIME ya no es seguro. Al contrario: alguien podría sacar el mensaje en texto plano (en nuestro idioma y de forma completamente legible). De hecho, se recomienda totalmente desinstalar cualquiera de estas dos tecnologías, aunque los correos electrónicos que has enviado en el pasado mediante estos métodos de cifrados seguirán siendo vulnerables.
Deja de usar PGP/GPG y S/MIME ya mismo
Cifrar quiere decir mantener la información bajo llave. Es un método para comunicarnos sin la posibilidad de otra persona más que el destinatario pueda leer el mensaje. Se usa, por ejemplo, en los correos electrónicos, donde en ocasiones tratamos temas confidenciales o incluso enviamos contraseñas.
«Actualmente no hay soluciones confiables para la vulnerabilidad. Si usa PGP / GPG o S / MIME para una comunicación muy confidencial, debe desactivarlo en su cliente de correo electrónico por ahora», explica un profesor de seguridad informática de la Universidad de Ciencias Aplicadas de Münster (Alemania) que participó en la investigación.
La Electronic Frontier Foundation (EFF), una organización dedicada a preservar los derechos de la libertad de expresión en la era digital, ha confirmado la existencia de vulnerabilidad en ambos sistemas y también recomienda encarecidamente desactivar este tipo de cifrado de nuestro correo electrónico.
Aunque se desactive, los correos antiguos enviados mediante este cifrado seguirán estando expuestos
No obstante, debemos tener en cuenta que la vulnerabilidad no ha sido publicada, por lo que, entre comillas, nuestros correos seguirán siendo seguros ante la gran mayoría de ciberdelincuentes que no tendrán acceso al fallo. Hasta que se publique, y es probable que esto ocurra mañana a las 9 horas española en un documento que liberarán los investigadores, de ahí que hoy se esté recomendando su desactivación.
Qué podemos usar para cifrar conversaciones
Ahora os preguntaréis: por muy inseguro que sean estas tecnologías, deberá ser más seguro usarlas que directamente enviar el correo en texto plano. En realidad, no, pues la persona podrá enviar el mensaje bajo clave, igualmente, y la clave podría enviarla por otra vía que sí sea segura. Esto es solamente un ejemplo, y las posibilidades son muchas.
Una de las opciones, que también puede ser usada para tratar conversaciones completas (sin la ventana del correo electrónico, claro) es Signal, una aplicación como WhatsApp que usa cifrado de extremo a extremo. Esto es, se guarda bajo clave el mensaje enviado y solamente lo puede desactivar la persona a la que se lo enviamos, siendo imposible que alguien externo lo intercepte en texto plano durante el camino.
Es como si la información viajase a través de un túnel: el hacer sería capaz de ver el túnel pero no la información que va por dentro. El concepto es más o menos el mismo que usando las tecnologías que se han mostrado inseguras según estos investigadores alemanes.
Esta aplicación es usada por políticos, periodistas, personas del mundo empresarial y en general gente que tenga que enviar información de manera segura. Edward Snowden, prófugo de la justicia estadounidense por liberar información confidencial de varias entidades gubernamentales, recomienda su uso. Otra de las personalidades que la usa es Puigdemont, por ejemplo. Incluso uno de los creadores de WhatsApp invirtió 50 millones de dólares en su desarrollo.