Este error de PGP podría permitir a los hackers controlar sus servidores de email

Expertos en auditorías de sistemas mencionan que dos importantes colaboradores del proyecto PGP han sido víctimas de múltiples ataques realizados por hackers no identificados que han logrado infectar los certificados empleados por la red de servidores de claves SKS.

PGP es una variante de software de cifrado empleado para asegurar la comunicación vía email entre agencias de inteligencia. Robert Hansen y Saniel Kahn, dos de los desarrolladores principales de OpenPGP, fueron víctimas de un reciente ciberataque envió spam a sus identidades criptográficas públicas.

Los desarrolladores afirman que un actor de amenazas infectó sus certificados. Esto significa que la identidad criptográfica legítima de PGP no puede ser autenticada de forma correcta. “El hacker explotó una falla en el protocolo de OpenPGP para envenenar nuestros certificados. Cualquiera que intente importar los certificados afectados podría comprometer su infraestructura de TI y la de sus clientes”, mencionaron los expertos en auditorías de sistemas.

“Los certificados envenenados ya están en la red del servidor de claves SKS”, mencionan los desarrolladores. Además, los especialistas consideran que la baja complejidad del ataque podría ayudar a su explotación masiva.

Expertos en auditorías de sistemas consideran poco probable que este riesgo pueda ser mitigado en el corto plazo. La única alternativa para mitigar el riesgo por ahora es dejar de recuperar certificados y demás datos de la red del servidor de claves SKS.

El servidor de claves es un componente central de PGP y de la autenticación de los usuarios de este protocolo. Los elementos de diseño del servidor han funcionado aceptablemente desde sus inicios en la década de 1990, aunque existen fallas de diseño y potenciales vectores de ataque conocidos desde hace años.

“Sabíamos de la posibilidad de este ataque al menos desde hace diez años, hoy se ha concretado y el panorama luce poco optimista”, mencionan los desarrolladores. Debido al diseño de sólo lectura del servidor de claves el spam de certificados es sólo uno de los múltiples vectores de ataque posibles contra este proyecto.

Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS) existen severos problemas técnicos que imposibilitan que el servidor de claves sea protegido contra este ataque; en otras palabras, este código es tan complejo que no es posible corregir estas vulnerabilidades con parches de actualización, sino que se requiere una revisión completa del sistema.

(Visited 128,1 times)