{"id":11418,"date":"2019-05-06T14:16:55","date_gmt":"2019-05-06T12:16:55","guid":{"rendered":"https:\/\/test-blog.mailfence.com\/?p=11418"},"modified":"2024-06-04T15:57:37","modified_gmt":"2024-06-04T13:57:37","slug":"las-vulnerabilidades-de-spoofing-de-firmas-de-openpgp-no-afectan-a-mailfence","status":"publish","type":"post","link":"https:\/\/blog.mailfence.com\/es\/las-vulnerabilidades-de-spoofing-de-firmas-de-openpgp-no-afectan-a-mailfence\/","title":{"rendered":"Mailfence no resulta afectado por las vulnerabilidades de spoofing de firmas de OpenPGP"},"content":{"rendered":"\n
\"spoofing<\/figure>\n\n\n


El 30 de abril de 2019 se anunciaron nuevas vulnerabilidades<\/a> en muchos clientes de correo electr\u00f3nico compatibles con OpenPGP y S\/MIME<\/a>. Estas vulnerabilidades de spoofing de firmas se aprovechan de las debilidades en la manera en que las firmas de OpenPGP son verificadas por los clientes de correo electr\u00f3nico, y c\u00f3mo se presenta al usuario el resultado de la verificaci\u00f3n. Nuestros an\u00e1lisis arrojaron que Mailfence no resulta afectado por las vulnerabilidades de spoofing de firmas de OpenPGP reveladas<\/strong>.<\/p>\n\n\n

Por qu\u00e9 Mailfence no resulta impactado por el spoofing de firmas de OpenPGP<\/h2>\n\n\n\n
\"Spoofing<\/figure>\n\n\n\n
\"Spoofing<\/figure>\n\n\n

El modelo del atacante que se menciona en el documento t\u00e9cnico<\/a> es este:<\/p>\n\n\n

    \n
  1. El encabezado \u00abDe\u00bb del correo electr\u00f3nico resulta suplantado (spoofed) por el atacante empleando t\u00e9cnicas de suplantaci\u00f3n de identidad.<\/li>\n\n\n\n
  2. El atacante ha obtenido al menos una firma v\u00e1lida de OpenPGP<\/a> suplantando al usuario en una conversaci\u00f3n anterior de correo electr\u00f3nico.<\/li>\n\n\n\n
  3. La v\u00edctima en el lado del destinatario ya posee una clave p\u00fablica confiable del remitente suplantado.<\/li>\n<\/ol>\n\n\n

    Aqu\u00ed presentamos los ataques demostrados por los investigadores de seguridad:<\/p>\n\n\n

    CMS attacks<\/h3>\n\n\n\n

    Mailfence no maneja el formato contenedor usado por S\/MIME, es decir, la Sintaxis de Mensaje Criptogr\u00e1fico (en ingl\u00e9s: Cryptographic Message Syntax o CMS), y por tanto no resulta afectado por este tipo de ataques.<\/p>\n\n\n\n

    Problema espec\u00edfico con la API de GPG<\/h3>\n\n\n\n

    Mailfence no usa el motor GPG y por tanto no resulta afectado por problemas espec\u00edficamente relacionados con la API de GnuPG.<\/p>\n\n\n\n

    Ataques MIME<\/h3>\n\n\n\n

    La metodolog\u00eda de verificaci\u00f3n de firmas de Mailfence no considera como v\u00e1lidos los mensajes parcialmente firmados ni las subpartes incrustadas firmadas en mensajes de m\u00faltiples partes. En la mayor\u00eda de los casos, estos mensajes se consideran inv\u00e1lidos. Adem\u00e1s, cualquier contenido activo siempre queda deshabilitado de manera predeterminada. Esto implica que, cuando usted abre un mensaje firmado, solamente se ejecuta la verificaci\u00f3n de la firma v\u00e1lida (correctamente reconocida).<\/p>\n\n\n\n

    Ataques de ID<\/h3>\n\n\n\n

    Mailfence no intenta vincular la identidad de la firma con la direcci\u00f3n del remitente, y solamente muestra el resultado de la verificaci\u00f3n de la firma. En caso de duda, los usuarios siempre pueden verificar la identidad del firmante haciendo clic en el mensaje de verificaci\u00f3n de la firma y compar\u00e1ndolo con la direcci\u00f3n del remitente. Y en el caso de la visualizaci\u00f3n del campo \u00abDe\u00bb, Mailfence maneja correctamente cualquier car\u00e1cter especial que pudiera intentar ser utilizado para manipular la presentaci\u00f3n en la IU ante el usuario.<\/p>\n\n\n\n

    Ataques de IU<\/strong><\/h3>\n\n\n\n

    Como Mailfence bloquea todo el contenido activo de manera predeterminada, cualquier intento de imitar la verificaci\u00f3n de la firma usando, por ejemplo, HTML, CSS o im\u00e1genes alineadas, no funcionar\u00e1. En tales casos, solamente se mostrar\u00e1 el mensaje de verificaci\u00f3n de la firma v\u00e1lida (es decir, la correctamente reconocida).<\/p>\n\n\n\n

    Recomendaciones para usuarios que emplean clientes de correo electr\u00f3nico afectados por el spoofing de firmas<\/h2>\n\n\n

    Le recomendamos que tome las siguientes acciones de mitigaci\u00f3n, en caso de que usted est\u00e9 usando su cuenta de Mailfence con cualquiera de los clientes de correo electr\u00f3nico afectados que se indican<\/a>, para poder protegerse contra el spoofing de firmas.<\/p>\n\n\n