Microsoft está debatiendo con expertos en seguridad si el cifrado de mensajes integrado que ofrece Office 365 es o no seguro. En cualquier caso, cabe cuestionar la utilidad de la función Office Message Encryption (OME).
Según la versión oficial, Office Message Encryption es un método para «enviar y recibir mensajes cifrados entre personas de dentro y fuera de la organización». Sin embargo, según la valoración de WithSecure, el cifrado por bloques denominado ECB (Electronic Codebook) utilizado para OME, no es apto para datos con patrones repetitivos como texto plano o imágenes y vídeos sin comprimir. Aun así, Microsoft no ve la necesidad de modificar este aspecto, tal como informa la publicación británica «The Register», entre otras.
Y las críticas expresadas por WithSecure están lejos de ser un caso aislado. El reputado instituto de normalización NIST, por ejemplo, estima que «el uso de ECB para el cifrado de información confidencial representa una grave deficiencia de seguridad». Según WithSecure, tampoco ayuda el hecho de que OME utilice un cifrado realmente potente con Advanced Encryption Standard (AES). Como punto débil adicional, los expertos en seguridad critican que los mensajes de OME se envían como archivos adjuntos del correo electrónico: «cuando varios mensajes caen en manos de piratas informáticos, la información filtrada de ECB se puede utilizar para averiguar el contenido cifrado», declara Harry Sintonen de WithSecure.
Microsoft no considera necesario tomar ninguna medida con respecto al informe. «El informe no cumplía los requisitos de un mantenimiento de seguridad ni se considera una infracción de seguridad. No se realizó ninguna modificación de código y, por tanto, no se asignó ningún CVE (Vulnerabilidades y exposiciones comunes) para este informe», ha declarado. Desde que Microsoft introdujo a principios de este año su propia solución de gobierno de datos –llamada Purview–, el gigante del software considera que OME es, en cualquier caso, un sistema legacy.
WithSecure recomienda a las empresas tener en cuenta las posibles consecuencias legales derivadas del uso de OME, especialmente en vista de las estrictas normas de protección de datos en Europa y California. «Puesto que Microsoft no tiene intención de solucionar esta vulnerabilidad, la única solución posible es evitar el uso de Office 365 Message Encryption», concluyen los investigadores.
Los usuarios que deseen cifrar el correo electrónico de forma segura y legal, pueden utilizar la solución basada en Gateway (puerta de enlace) Email Encryption de Retarus: funciona con cualquier sistema de correo electrónico basado en SMTP, es independiente del dispositivo final utilizado y admite S/MIME, PGP y OpenPGP. Asimismo, es totalmente compatible con el estándar X.509 v3, incluidos todos los certificados propios; Retarus gestiona todas las claves internas y externas de forma centralizada. Los destinatarios que carezcan de una solución de cifrado propia pueden ver los mensajes a través de un portal web seguro. Los interesados en obtener más información pueden visitar nuestro sitio web o consultar directamente a su interlocutor local.