• Tweet

Un problema relacionado con una tecnología criptográfica ampliamente usada de código abierto podría permitir actos maliciosos en mensajes de correo electrónico cifrados y firmados digitalmente.

El problema radica en como ciertas aplicaciones de correo electrónico despliegan los mensajes firmados usando GNU Privacy Guard, también conocido como GnuPG, de acuerdo por lo declarado por el grupo GnuPG en una alerta de seguridad el martes. Pude no ser posible identificar que parte de un mensaje realmente fue firmada si GPG no es usado correctamente, él dijo.

"Es posible insertar texto adicional antes o después de un mensaje OpenPGP firmado, o formado y encriptado, y hacer que el usuario crea que este texto adicional también esta cubierto por la firma", de acuerdo con la alerta.

Esto plantea un riesgo a aquellos que usan tecnología criptográfica para autenticar mensajes de correo electrónico encriptados. Un problema similar ocurrió el año pasado con la tecnología GnuPG.

Muchos clientes de correo electrónico de código abierto son afectados por este ultimo problema, de acuerdo con la compañía de seguridad Core Security Technologies, que descubrió el problema. La lista de aplicaciones afectadas incluye KMail de KDE, Evolution de Novell, Mutt y GnuMail.org, según Core. Enigmail, una extensión para los clientes de correo de Mozilla, también es vulnerable, dijo la compañía de investigación en seguridad.

"Es importante notar que este no es un problema criptográfico. Afecta el cómo es presentada la información al usuario y como aplicaciones de terceros interactúan con GnuPG", dijo Core en una alerta.

Además de agregar contenido a un supuesto mensaje de correo electrónico seguro, los atacantes pueden expandir el problema para evitar las defensas de filtrado de contenido como mecanismos antispam, dijo Core.

GnuPG es un reemplazo gratuito para la tecnología criptográfica Pretty Good Privacy (PGP). Un cliente de correo electrónico que use criptografía OpenPGP se puede componer de múltiples secciones, no todas de las cuales necesitan ser firmadas o encriptadas. Los programas de correo electrónico que no interpretan correctamente el mensaje podrían indicar que es completamente seguro cuando, de hecho, no lo es.

"Visualiza el bonito icono diciéndole que el mensaje completo esta encriptado y firmado, mientras que hay una sección de --texto, imágenes, binario, o lo que sea-- que no lo esta", escribió Arrigo Triulzi, parte del staff del Internet Storm Center del SANS, en el blog de la organización.

El grupo GnuPG ha publicado actualizaciones para prevenir los problemas con mensajes firmados o encriptados, pero hizo notar que las aplicaciones individuales de correo electrónico podrían necesitar actualizarse también, para desplegar correctamente mensajes firmados después de aplicar la actualización de GPG.

"Después de aplicar uno de estos parches, algunas de las aplicaciones vulnerables pueden fallar al manejar ciertos mensajes", indica la alerta de GnuPG. "Corregir la aplicación es requerido, porque no hay manera de que GnuPG lo haga".

El software Enigmail ya se ha actualizado.