in

El misterio de TrueCrypt: ¿Qué hay en su código?

TrueCrypt es una de las aplicaciones de seguridad más utilizadas. Y con el spygate completamente expuesto, se ha iniciado una campaña pública para auditar su código en busca de elementos como las temidas “puertas traseras”, un detalle muy interesante cuando ni siquiera se sabe quién lo desarrolla…

Es muy pronto para hablar de inconvenientes en su código. A decir verdad, tal vez no haya nada de malo en él. El problema se concentra exclusivamente sobre un factor: Confianza. Los llamados “servicios seguros” están cayendo como piezas de dominó, uno tras otro debido a la presión de las autoridades. TrueCrypt ha sido expuesto a la fuerza de la ley en más de una ocasión, y por lo que sabemos no fue derrotado aún, y eso incluye tanto a su cifrado (el ejemplo del banquero brasileño Daniel Dantas es uno de los más resonantes) como a su estatus legal, debido a que no se puede obligar a un usuario a entregar las contraseñas de sus unidades cifradas, y por extensión, incriminarse a sí mismo.

TrueCrypt

Son muy numerosos los usuarios que prefieren proteger su contenido digital bajo el candado de TrueCryptpero no sabemos nada sobre este programa, más allá de lo que ya está disponible. Su última versión es la 7.1a, y fue lanzada en febrero de 2012. Posee algunos detalles de compatibilidad (por ejemplo, no puede cifrar particiones en sistemas UEFI), y su rendimiento no es siempre el mejor, lo que ha llevado a considerar otras alternativas. La información sobre su portal no revela nada más allá del hosting… y sus responsables frente al teclado son un verdadero misterio. Puede ser un grupo de hackers anónimos, un programador solitario en un garaje, o incluso la misma NSA.

De esta falta de información surge la necesidad de llevar a cabo una auditoría sobre el código de la última versión de TrueCrypt. El primer punto a resolver está en su licencia. Existen varios factores que harían a la licencia de TrueCrypt incompatible con la estructura open source, por lo tanto, una parte del proceso requerirá la intervención de un experto legal que evalúe su situación. Luego será necesario establecer que los binarios actuales fueron creados directamente del código, sin modificaciones extrañas. Si los builds compilados no son consistentes con los binarios actuales, se necesitarán algunas explicaciones. El objetivo de fondo es una auditoría completa del código a nivel profesional. Las compañías calificadas son pocas, toma tiempo, y como podrán imaginar, es un proceso muy caro.

TrueCrypt

Esto nos traslada a las dos campañas públicas. Una comenzó en FundFill, mientras que la otra se encuentra en Indiegogo. Con casi dos meses por delante, Indiegogo ya tiene más de diez mil dólares sobre los 25 mil establecidos como meta, mientras que en FundFill, la suma se está acercando a los 14 mil dólares. Las propuestas se han multiplicado a través de la Web desde que se anunció la auditoría. Para algunos es mucho más preocupante no saber quién hace a TrueCrypt, que conocer el estado del código. Otras sugerencias apuntan a establecer una buena compatibilidad entre TrueCrypt y ciertas licencias open source para iniciar el desarrollo de “forks” (busca “VeraCrypt” para más info), dejando atrás al software original.

En resumen, la idea no es perjudicar a TrueCrypt, sino todo lo contrario. Si se comprueba a través de la auditoría que TrueCrypt no posee nada extraño en su código, su relación con usuarios actuales y futuros va a mejorar drásticamente. Sólo queda esperar a ver qué clase de reacción tienen los sigilosos desarrolladores de TrueCrypt. Y tampoco debemos olvidar que quienes hacen auditorías profesionales, las hacen por un precio, y aunque el dinero no compra todo, la suma correcta en el momento correcto podría comprometer el resultado. Confianza, confianza.

Reportar

¿Qué te pareció?

Escrito por Lisandro Pardo

7 Comments

Leave a Reply
  1. :O :O :O Que trágico, yo confiaba en truecrypt. Además es de las pocas apps multiplataforma que soportan dos algoritmos de cifrados, uno sobre otro; además de unidades ocultas, y todas esas cosas xD
    Si hasta la recomiendan en foros de la deep web xD No es que oculte cosas especialmente ilegales (que no), pero no me gusta usar carpetas infinitamente dentro de otras con nombres como “trabajos de la u” que pesan gigas xDDD
    Obligado a buscar otra alternativa xD Recomiéndenme alguna plis 🙂

  2. @cordobes23 gracias por el dato, no sabía que mario lo habían despedido, que mal, sus tutoriales eran muy buenos para novatos, de hecho recomende los links…

    Bueno viendo en su blog personal, fue el “JEFE”, que verguenza.

    Para el “JEFE”:
    Este tipo de tutoriales ayuda a los novatos a comprender los más básico para poder saltar a otras arquitecturas complejas y ademas son lo que los diferencia de paginas alarmistas y populista “fayercaca” que sí, lo leo, pero vengo acá a corroborar la veracidad de la información dada.
    En fin “JEFE” una mala decisión

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

SecureDrop: Plataforma de filtración de datos para periodistas

angry-birds GO

Angry Birds Go: Mario Kart con aves y cerdos