Desde que Edward Snowden abrió la caja de los truenos y mostró al mundo los programas de espionaje masivo de la NSA, una parte importante de los usuarios ha tomado, por fin, conciencia de la importancia mantener la privacidad de sus datos personales. Herramientas y recursos como Tails o PGP ya no son desconocidos y, por tanto, cifrar nuestra información para mantenerla a salvo se ha convertido en algo cotidiano.
Dentro de las herramientas y recursos que muchos hemos integrado en nuestro día a día está TrueCrypt; una herramienta que permite cifrar la información de nuestro disco duro y crear particiones cifradas a las que nadie podría acceder aunque tuviese acceso físico a nuestro ordenador personal.
TrueCrypt es una herramienta muy extendida a nivel empresarial y el hecho de ser una herramienta de código abierto (o “código publicado”) le otorga un importante aval de confianza por el sector (dado que se puede auditar su código). TrueCrypt es una herramienta muy valorada (hasta Edward Snowden la usaba) sin embargo, algo muy extraño está sucediendo en los dos últimos días: TrueCrypt ha cerrado el proyecto de repente y ha declarado que su aplicación es insegura.
Un cierre misterioso
En la noche del miércoles pasado comenzaron a saltar todas las alarmas: la página oficial del proyecto TrueCrypt deja de funcionar y aplica una redirección hacia un destino alojado en SourceForge. En dicha página, los visitantes encuentran un mensaje nada tranquilizador: “Advertencia: usar TrueCrypt no es seguro y éste puede contener agujeros de seguridad que no han sido resueltos”.
Tras este mensaje de advertencia, la página muestra una pequeña explicación en la que se indica que el proyecto ha cerrado y, por tanto, en mayo de 2014 habían cesado los trabajos de desarrollo de esta herramienta al finalizar también el soporte de Windows XP por parte de Microsoft.
Además, la página insta a los usuarios a abandonar el uso de TrueCrypt para adoptar la solución nativa que incluyen Windows Vista, Windows 7 o Windows 8 para cifrar la información (BitLocker) y se ofrece una pequeña guía de migración de los datos.
Que un proyecto de código abierto inste a los usuarios a migrar hacia una solución propietaria como BitLocker, es algo bastante singular; un hecho tan extraño que disparó todo tipo de alarmas y primeros análisis.
Para empezar, el software de TrueCrypt accesible en esta web es distinto al que habitualmente teníamos disponible; con la versión 7.2 que hay publicada, solamente podemos descifrar la información cifrada con TrueCrypt pero no podemos, por ejemplo, crear un nuevo volumen cifrado en nuestro disco duro. Teóricamente, esta “versión final” se ha concebido para que los usuarios migren hacia otras soluciones y, según los primeros análisis, este paquete está firmado con la clave oficial del proyecto (lo que lo hace parecer auténtico).
¿Y si estamos ante un hack muy elaborado?
hackEl repentino cierre de TrueCrypt está generando todo tipo de teorías y explicaciones; sin embargo, antes de entrar a valorar qué ha podido pasar o qué teorías se manejan, es importante conocer algunos detalles del proyecto y parte del contexto en el que se movía.
TrueCrypt era un proyecto que se desarrollaba en código abierto pero no era software libre en términos estrictos puesto que se distribuía bajo una licencia tan restrictiva que distribuciones GNU/Linux como Debian o Fedora la llegaban a considerar una licencia privativa. Otro detalle curioso sobre el proyecto TrueCrypt estaba relacionado con sus desarrolladores; normalmente, cualquier proyecto tiene un responsable que coordina al equipo y hace de nexo con los usuarios, sin embargo, los desarrolladores de TrueCrypt no se conocen y permanecen bajo el anonimato (así que es difícil verificar si este cierre es real).
Recientemente, TrueCrypt había sido sometido a una auditoría independienteauditoría independiente para evaluar la seguridad de este sistema de cifrado. TrueCrypt había pasado la primera fase auditoría; es cierto que se habían detectado algunos bugs pero no se consideraron de alto riesgo y, además, tampoco se habían encontrado indicios de puertas traseras. Por tanto, poco tiempo después de publicarse los resultados de esta auditoría, el proyecto cierra de repente y sin dar explicaciones más allá de alegar bugs graves que ponen en riesgo la seguridad de la información de los usuarios.
Si la primera fase de la auditoría había sido satisfactoria, ¿a qué se debe este cierre? Como comentaba al inicio, no hay información sobre las personas que estaban detrás de TrueCrypt; por tanto, solamente caben teorías y especulaciones sobre lo que ha podido ocurrir.
Una de las primeras teorías que han surgido alrededor de este cierre es que nos encontremos ante un hackeo del proyectohackeo; sin embargo, esta teoría parece disiparse conforme pasa el tiempo porque no se aprecian manipulaciones en la web y los paquetes que se han publicado llevan la firma del desarrollador.
Otra teoría que ha surgido alrededor del cierre de TrueCrypt apunta a un final parecido al que tuvo Lavabit, el servicio de correo electrónico seguro que cesó sus servicios ante las presiones del Gobierno de Estados Unidos; sin embargo, esta teoría tampoco está contrastada. Algo parecido ocurre con la “tesis contraria”; tampoco hay pruebas que sostengan la teoría de que la NSA esté detrás de TrueCrypt y ello fuese algo a descubrir en la segunda fase de la auditoría.
Para entender un poco mejor qué ha pasado, hemos hablado con Yago Jesús, experto en seguridad y editor de Security by Default y conocer su visión sobre el inesperado cierre de TrueCrypt y las distintas teorías que intentan arrojar luz sobre lo sucedido:
“De entrada, hay que decir que TrueCrypt nunca ha sido un proyecto que se haya caracterizado por su transparencia, desde hace tiempo mucha gente se cuestionaba quién estaba tras ese proyecto. Sobre el por qué ahora TrueCrypt ha hecho este movimiento hay varias hipótesis, desde que el o los autores hayan sido hackeados, hasta que haya sido por propia voluntad. Los indicios apuntan a que el hackeo no tiene mucho sentido así que parece que este cierre puede estar vinculado a otras causas”.
“La auditoría podría ser una causa pero, teniendo en cuenta que la primera fase salió bien, no tiene sentido este cierre como antesala de una ”puerta trasera“ que aún no ha salido a la luz. En mi opinión, hay una hipótesis que nadie ha puesto encima de la mesa: tensiones internas entre el grupo de desarrolladores del proyecto. Es un equipo que lleva muchos años trabajando conjuntamente, tiene sentido que surjan disputas y hayan decidido disolver el equipo”.
El futuro de TrueCrypt
Aunque oficialmente TrueCrypt haya cerrado, no han tardado mucho en aparecer algunas manos que están dispuestas a recoger el testigo y continuar con el proyecto en forma de fork, es decir, un desarrollo independiente que toma como punto de partida a TrueCrypt.
Desde el proyecto Open Crypt Audit, que es el que estaba realizando la auditoría de TrueCrypt, ya ha anunciado la posibilidad de realizar su propio fork del proyecto y, por los comentarios generados, éste podría tener una buena acogida.
En cualquier caso, el repentino cierre de TrueCrypt no pone punto final a las herramientas para cifrar nuestros datos; mantener a salvo nuestra información es una necesidad que seguimos teniendo y, por tanto, otros proyectos llegarán para cubrir este vacío. El software libre es fundamental en el ámbito de la seguridad de la información; el acceso al código nos permite auditar las soluciones, analizar en profundidad qué es lo que se hace con nuestros datos o detectar bugs para que puedan ser solventados. Esta retroalimentación entre desarrolladores y comunidad de usuarios (que son los ejercen de auditores) es algo que no se da en el software privativo, en este caso, la “confianza en un producto” se reduce a la confianza en una empresa determinada y, precisamente, por este motivo es tan importante que las soluciones de seguridad sean libres y abiertas.
¿Qué debemos hacer si usamos TrueCrypt?
Si eres usuario de TrueCrypt, lo más prudente es no descargar, por ahora, la versión que está publicada en la web de SourceForge hasta que se aclare un poco la situación (hay algunos sitios web enfocados en seguridad que han publicado las versiones anteriores de esta herramienta para que se puedan usar mientras tanto). Aunque la firma de la última versión “publicada oficialmente” sea auténtica, todo lo que ha sucedido es extremadamente extraño y confuso y es mejor esperar un poco.
Sobre la supuesta inseguridad que TrueCrypt ha publicado en su web y que, teóricamente, es el origen del repentino cierre, Yago nos comentó un detalle a tener en cuenta y que aclara el mensaje de advertencia de su web:
“Mi interpretación personal al mensaje 'TrueCrypt puede ser inseguro', no quiere decir que que declaren que la aplicación actual sea insegura; simplemente que esa versión que han colgado será la última y, por tanto, alguien que se la baje en 1 año, puede que se esté bajando una versión con vulnerabilidades que no hayan sido solventadas”.
De todas formas, si buscas una alternativa a TrueCrypt, además de la función BitLocker que podemos encontrar en Windows (desde Windows Vista en adelante), vale la pena echarle un vistazo a proyectos como AES Crypt (que es software libre y multiplataforma), AxCrypt (también libre y multiplataforma) y, si eres usuario de Dropbox o OneDrive, CloudFogger puede ser un recurso a tener en cuenta puesto que nos permite cifrar la información que sincronizamos en la nube.
Imágenes: Luiz Gustavo Gerent (Flickr), Victor Bayon (Flickr) y abdallahh (Flickr)