El misterio de TrueCrypt: ¿Qué hay en su código?

TrueCrypt es una de las aplicaciones de seguridad más utilizadas. Y con el spygate completamente expuesto, se ha iniciado una campaña pública para auditar su código en busca de elementos como las temidas “puertas traseras”, un detalle muy interesante cuando ni siquiera se sabe quién lo desarrolla…

Es muy pronto para hablar de inconvenientes en su código. A decir verdad, tal vez no haya nada de malo en él. El problema se concentra exclusivamente sobre un factor: Confianza. Los llamados “servicios seguros” están cayendo como piezas de dominó, uno tras otro debido a la presión de las autoridades. TrueCrypt ha sido expuesto a la fuerza de la ley en más de una ocasión, y por lo que sabemos no fue derrotado aún, y eso incluye tanto a su cifrado (el ejemplo del banquero brasileño Daniel Dantas es uno de los más resonantes) como a su estatus legal, debido a que no se puede obligar a un usuario a entregar las contraseñas de sus unidades cifradas, y por extensión, incriminarse a sí mismo.

Son muy numerosos los usuarios que prefieren proteger su contenido digital bajo el candado de TrueCrypt… pero no sabemos nada sobre este programa, más allá de lo que ya está disponible. Su última versión es la 7.1a, y fue lanzada en febrero de 2012. Posee algunos detalles de compatibilidad (por ejemplo, no puede cifrar particiones en sistemas UEFI), y su rendimiento no es siempre el mejor, lo que ha llevado a considerar otras alternativas. La información sobre su portal no revela nada más allá del hosting… y sus responsables frente al teclado son un verdadero misterio. Puede ser un grupo de hackers anónimos, un programador solitario en un garaje, o incluso la misma NSA.

De esta falta de información surge la necesidad de llevar a cabo una auditoría sobre el código de la última versión de TrueCrypt. El primer punto a resolver está en su licencia. Existen varios factores que harían a la licencia de TrueCrypt incompatible con la estructura open source, por lo tanto, una parte del proceso requerirá la intervención de un experto legal que evalúe su situación. Luego será necesario establecer que los binarios actuales fueron creados directamente del código, sin modificaciones extrañas. Si los builds compilados no son consistentes con los binarios actuales, se necesitarán algunas explicaciones. El objetivo de fondo es una auditoría completa del código a nivel profesional. Las compañías calificadas son pocas, toma tiempo, y como podrán imaginar, es un proceso muy caro.

Esto nos traslada a las dos campañas públicas. Una comenzó en FundFill, mientras que la otra se encuentra en Indiegogo. Con casi dos meses por delante, Indiegogo ya tiene más de diez mil dólares sobre los 25 mil establecidos como meta, mientras que en FundFill, la suma se está acercando a los 14 mil dólares. Las propuestas se han multiplicado a través de la Web desde que se anunció la auditoría. Para algunos es mucho más preocupante no saber quién hace a TrueCrypt, que conocer el estado del código. Otras sugerencias apuntan a establecer una buena compatibilidad entre TrueCrypt y ciertas licencias open source para iniciar el desarrollo de “forks” (busca “VeraCrypt” para más info), dejando atrás al software original.

En resumen, la idea no es perjudicar a TrueCrypt, sino todo lo contrario. Si se comprueba a través de la auditoría que TrueCrypt no posee nada extraño en su código, su relación con usuarios actuales y futuros va a mejorar drásticamente. Sólo queda esperar a ver qué clase de reacción tienen los sigilosos desarrolladores de TrueCrypt. Y tampoco debemos olvidar que quienes hacen auditorías profesionales, las hacen por un precio, y aunque el dinero no compra todo, la suma correcta en el momento correcto podría comprometer el resultado. Confianza, confianza.