Recientemente, investigadores de la empresa de ciberseguridad Codean Labs revelaron una vulnerabilidad de seguridad de alto riesgo en la biblioteca de cifrado de código abierto OpenPGP.js. Esta vulnerabilidad de seguridad permite la falsificación arbitraria de mensajes firmados y cifrados, lo que conduce a la destrucción completa del cifrado de clave pública del correo electrónico que depende de esta tecnología.
OpenPGP.js es una biblioteca de cifrado de código abierto escrita en JavaScript, diseñada para proporcionar funciones de cifrado y descifrado basadas en el estándar OpenPGP para aplicaciones web y entornos Node.js, es decir, para lograr una comunicación de correo electrónico cifrada segura en el lado del cliente o servidor, admitiendo cifrado de archivos y firmas digitales, etc.
Actualmente, el proveedor de correo electrónico cifrado Proton Mail se basa principalmente en esta biblioteca de cifrado. De hecho, esta biblioteca de código abierto es mantenida principalmente por Proton Mail, por lo que los usuarios que en realidad se ven más afectados también son Proton Mail. El número de vulnerabilidad asignado es CVE-2025-47934, con una puntuación de vulnerabilidad de 8,7/10. Debido a preocupaciones de seguridad, los investigadores no revelaron la descripción completa de la vulnerabilidad ni la prueba de concepto, pero estos códigos de prueba de concepto se publicarán uno tras otro una vez que se solucione la vulnerabilidad.
De la breve descripción aprendemos que la raíz del problema es una falla en el proceso de firma de confianza de OpenPGP.js. Para falsificar un mensaje, el atacante necesita una firma de mensaje válida y datos de texto sin formato firmados legítimamente. Luego, el atacante puede usar cualquier dato de su elección para falsificar mensajes cifrados firmados que parezcan haber sido firmados legítimamente por OpenPGP.js.
Las versiones afectadas son OpenPGP.js 5.0.1~5.11.2 y 6.0.0-alpha~6.1.0. Las versiones de la serie 4.x no se ven afectadas, por lo que los desarrolladores y usuarios que utilizan OpenPGP.js deben actualizar a las versiones 5.11.3 y 6.1.1 para garantizar la seguridad.