¿Qué ocurrió con TrueCrypt?

TrueCrypt ha desaparecido, dejando numerosas interrogantes que causan revuelo en el ámbito de la seguridad informática.

shutterstock_173158895_ra2studio_logotipoTrueCrypt

Después de haber sido por más de 10 años la herramienta de código abierto preferida para el cifrado de archivos y discos duros completos, el proyecto TrueCrypt ha sido descontinuado, sin que las explicaciones dadas por sus creadores anónimos sean suficientes, o creíbles.

La dirección truecrypt.org apunta ahora a las páginas del proyecto en Sourceforge, donde se anuncia que el producto ha dejado de ser seguro.

La herramienta de cifrado ha sido además descontinuada. Se ha publicado una nueva versión, que sólo permite descifrar contenidos, no cifrarlos. Según se indica, esta versión tiene el propósito exclusivo de facilitar la migración hacia otras plataformas de seguridad.

En letras rojas se anuncia: “ADVERTENCIA: El uso de TrueCrypt ya no es seguro, debido a que puede contener incidencias no solucionadas de seguridad”.

La explicación dada por sus creadores ha causado incredulidad. Según se indica, el desarrollo de TrueCrypt ha sido descontinuado debido a que Microsoft recientemente suspendió el soporte para Windows XP. Las versiones más recientes del sistema operativo de Microsoft incorporan herramientas de cifrado de discos duros y archivos. El resto de la página contiene instrucciones para utilizar la tecnología BitLocker de Microsoft, para el cifrado en entornos Windows.

Inicialmente se creyó que el proyecto había sido hackeado, debido al anuncio en sí, y también por la razón aludida. Sin embargo, los cambios fueron firmados con la misma clave de cifrado utilizada por TrueCrypt Foundation durante los últimos dos años. La identidad de los desarrolladores de TrueCrypt ha sido un secreto celosamente protegido.

Como podría suponerse, la noticia ha motivado incertidumbre sobre TrueCrypt y su ulterior utilización entre los usuarios. La herramienta TrueCrypt ha sido descargada más de 30 millones de veces, y recibió atención extraordinaria debido a las revelaciones de Edward Snowden sobre la NSA, iniciadas en junio de 2013. Según trascendió, el propio Snowden habría utilizado TrueCrypt.

Otra consecuencia directa de las revelaciones de Edward Snowden fue la realización de una colecta en octubre de 2013, en que se recaudaron USD 80.000 de donantes de todo el mundo, con el objetivo de realizar una revisión de seguridad de TrueCrypt.

La misión fue encomendada a iSec Partners/NCC Group, entidad que en su primer informe, publicado en febrero de 2014 (documento PDF en inglés, de 32 páginas), concluyó que no hay indicios de puertas traseras, u otro código maligno instalado en la herramienta.

El catedrático de criptografía, Matthew Green, de la Universidad Johns Hopkins, en el estado federado de Mary Land, figura entre los expertos que investigaron la seguridad de TrueCrypt. Según Green, aún hay USD 30.000 disponibles para la finalización del informe, que será presentado dentro del próximo trimestre.

El catedrático Green comentó además que la licencia de TrueCrypt es algo incierta, y que es difícil poder determinar categóricamente la viabilidad de crear una herramienta derivada, o bifurcación. En la lista de distribución Full Disclosure se discute activamente la eventual creación de una alternativa, aunque no basada en el código fuente de TrueCrypt.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s