Veamos en qué ha quedado todo el escándalo sobre la vulnerabilidad llamada Efail de cifrado de correos.
El pasado mes de mayo de 2018 se publicó un artículo técnico en efail.de sobre una supuesta vulnerabilidad encontrada en GPG y recomendaba dejar de utilizar GPG para cifrado de correos.
Algunas organizaciones como la EFF también recomendaron dejar de utilizar GPG o simplemente dejar de cifrar correos porque supuestamente no era seguro.
Después de pasada la tempestad, y de artículos que atraen por lo sensacionalista, veamos en qué ha quedado todo.
Primero decir que no es necesario dejar de utilizar GPG para firmar o cifrar correos. Tampoco es necesario cifrar o descifrar archivos con otro programa externo a tu cliente de correo.
El artículo técnico Efail explicaba diferentes métodos de ataques. El propio creador de GPG, Werner Koch explicaba que las alertas para dejar de usar GPG eran exageradas.
El verdadero y único problema era el utilizar HTML en la redacción de los correos, mediante esto se podía explotar la vulnerabilidad. Pero cabe aclarar que eso no es un error en GPG.
Pero eso no es una noticia nueva, ya que esa información es conocida desde hace mucho. Si habilitas el contenido HTML en el correo no sólo eres vulnerable frente a Efail, si no a muchos tipos de ataques (rastreo, phising, etc)
Siempre es más seguro que tu cliente de correo no permita el uso de HTML o cargue de manera automática imágenes u otros medios desde sitios remotos.
También es buena práctica no hacer clic directamente en enlaces HTML, es mejor copiarlos y pegarlos para así ver realmente si el enlace al que apuntan es igual al enlace que dice apuntar.
También cabe recordar que si el enlace es ofuscado, o acortado por alguna aplicación de acortamiento de URL’s no se deben visitar a menos que confíes en el remitente… y aún así…
¿un ejemplo? Pincha en este enlace para acceder al buscador más conocido de internet.
Por supuestos los ataques de los delincuentes informáticos son más elaborados…
No sólo tu debes tomar en cuenta estos consejos, también las personas con las que tienes contacto y que te ponen en copia de correos que pueden ser vulnerables o maliciosos, así que bien vale difundir y dar consejos básicos sobre privacidad.
Sí, los correos con HTML tienen bonitas grafías, bonitas imágenes, firmas chulas, identidad de marca de tu empresa, etc. Pero quizás esa sea la puerta que deje abierta alguien para pasar…
Además de todo esto, si ya lo sabías y utilizabas GPG, no tardes más en actualizar el software. Tanto el cliente de correo como el plugin que te permite usar GPG en él.
Por ejemplo Enigmail, el plugin que puedes instalar en el cliente de correo Thunderbird se actualizó poco después de conocerse Efail de manera pública. Además el propio Enigmail recomienda inhabilitar el uso de HTML en la redacción de correos
Por tanto, es seguro seguir usando GPG para el cifrado o firmado de nuestros correos electrónicos, pero respetando unas reglas de uso, tanto de nuestros contactos como de nuestra parte.
Si quieres empezar a cifrar tus conversaciones, en el blog tienes algún tutorial al respecto y también puedes empezar con la guía de la autodefensa del correo electrónico que publicó la FSF y de la que mantengo la traducción al español:
Más información de primera mano de donde he sacado la información para este artículo en este artículo en inglés de la FSF escrito por Georgia Young bajo licencia CC-by-nd 3.0
——————————————-
Victorhck in the free world 
Gracias Victor por aclarar todo sobre este asunto, había escuchado la noticia pero no le di seguimiento y lo tenia en la lista de cosas por hacer.
Yo mismo cometo el error muchas veces de habilitar el HTML, más bien por comodidad sin tener en cuenta el riesgo, hoy voy a revisar todo este asunto.
Una vez más Gracias por el artículo.
Have a lot of Fun!!
un placer arrojar un poco de luz… 😉