El extraño caso de la misteriosa desaparición de TrueCrypt

Tema: Competencias Técnicas. Seguridad Informática.

En los últimos días de mayo del 2014, la comunidad de usuarios de código abierto presenció la desaparición de una aplicación de encripción denominada "TrueCrypt" (www.truecrypt.org) que dejó a más de uno pensando en los motivos que podrían haber tenido sus desarrolladores para darla de baja.

Los Hechos

TrueCryp apareció en febrero del 2004 y se convirtió rápidamente en una excelente opción para realizar "cifrado en vivo", también conocido en inglés como "On The Fly Encryption (OTFE)".

El término Cifrado en Vivo (OTFE) significa que los archivos que almacenas en una partición de tu disco duro se encuentran encriptados y la aplicación (TrueCrypt) los tiene que cifrar y descifrar cada vez que el sistema operativo los requiere. El archivo sólo existe en "texto claro" (sin cifrar) en la memoria RAM de tu computadora y desaparece de ella en forma segura cuando dejas de usarlo.

Entre las bondades de TrueCrypt se encontraban:

  • Multiplataforma. Disponible para Windows, Mac, y Linux. Un volumen encriptado, por ejemplo un disco duro externo, puede ser descifrado desde cualquier sistema operativo siempre y cuando tengas la contraseña.
  • Fácil de usar. Interfaz gráfica intuitiva.
  • Cifrado en vivo para todos los archivos de una partición (un "volumen")
  • Negación plausible. Con la configuración apropiada, es imposible demostrar que un disco duro contiene un volumen "TrueCrypt" si el sistema operativo no deja rastros de su uso y se desconocen sus detalles de ubicación y acceso. A partir de Windows 7 esto dejó de ser tan fácil de lograr.
  • Código abierto. El código fuente estaba a disposición de cualquiera que quisiera analizarlo. 
  • Gratuito. ¿Hay que decir más?

Un grupo de desarrolladores de software agrupados en torno de la iniciativa "Open Crypto Audit" (opencryptoaudit.org) realizó una auditoría de seguridad, publicando sus resultados unas cuantas semanas antes de la desaparición de TrueCrypt en Abril de 2014. La auditoría tardó 7 meses en su primera fase y sólo encontró errores de programación y vulnerabilidades ligeras, no-intencionales, sin detectar puertas traseras ni código malicioso embebido. La segunda fase de la auditoría debería empezar en Junio y entregar resultados en Septiembre de 2014. Otras auditorías están por publicar sus resultados.

Los desarrolladores de TrueCrypt habían anunciado un nuevo desarrollo tan pronto se completaran las auditorías.

La Desaparición

De manera totalmente sorpresiva, en la última semana de mayo del 2014, la página de Truecrypt.org fue repentinamente alterada, desplegando una leyenda que podría traducirse como "TrueCrypt YA NO ES SEGURO" e instando a descargar una nueva versión que sólamente tiene capacidad para descifrar volúmenes encriptados pero ya no puede generarlos.

Los autores de la página recomiendan incluso cambiar a herramientas comerciales de cifrado como BitLocker de Microsoft (disponible en las versiones Ultimate y Enterprise de Windows sólamente). 

Para los usuarios con sistema operativo Mac OSX y Linux, la recomendación es, si todavía tienes la versión anterior, mover todos los archivos a una partición sin encriptar (!!!).

El Misterio

Pero la historia se pone aún mas extraña cuando salen a la luz algunas de las circunstancias de la desaparición de esta aplicación.

  • Para empezar, los desarrolladores se comportaban en forma anónima, sin poner sus datos de contacto o información personal en la página del proyecto. Esto no es inusual en sí mismo, aunque en los proyectos de código abierto muchas veces la única recompensa que recibe el desarrollador es la pequeña cantidad de fama que conlleva tener asociado tu nombre con un proyecto exitoso.
  • La aplicación se había vuelto cada vez más compleja. Era ya difícil de compilar en Windows, según quienes se dieron a la tarea de hacerlo en lugar de descargar el código pre-compilado. Es difícil pensar que una aplicación así podía ser el resultado del esfuerzo de un par de personas que lo hacían en sus ratos libres, publicándola como código abierto sin esperar absolutamente nada a cambio (ni siquiera la fama).
  • Usualmente, cuando los desarrolladores de un proyecto de código abierto quieren abandonarlo, dejan la última versión disponible con advertencia de que el software ya no tiene soporte y liberan el código por completo, sin restricciones. Los desarrolladores de TrueCrypt no hicieron nada de esto, y parecerían recomendarnos enfáticamente dejar de usar la aplicación.
  • Truecrypt era publicado por una organización denominada "TrueCrypt Foundation", registrada en E.U. en el estado de Nevada a nombre de "ONDREJ TESARIK" y estaba registrado como marca comercial por "David Tesařík" en la República Checa. Mismos apellidos. Parecería ser la misma persona. Todo bien, excepto que "ONDREJ TESARIK" es un anagrama de "TRAINED JOKERS" (bromistas entrenados).
  • El dominio truecrypt.org originalmente estaba registrado ¡en Antártida!
  • La nueva versión de la aplicación está criptográficamente firmada con la llave correcta. La misma llave que firmó la versión anterior, que era completamente funcional. Los métodos criptográficos comercialmente disponibles hacen prácticamente imposible falsificar la firma, si no se dispone de la llave correcta. En otras palabras, la página de TrueCrypt no parece haber sido hackeada.
  • La advertencia sobre la supuesta inseguridad de TrueCrypt tiene una redacción sospechosa. Dice: "Using TrueCrypt is not secure as it may contain unfixed security issues (sic)". A los amantes de las teorías de conspiración les llaman la atención las palabras "Not Secure As", que parecerían contener una advertencia vagamente relacionada con la NSA (National Security Agency) de los E.U.
  • En los últimos años han sido ampliamente divulgados al menos 3 casos judiciales en los E.U. en los que el gobierno americano (concretamente el FBI) no fue capaz de romper la protección de TrueCrypt cuando los acusados se negaron a proporcionar las claves de descifrado. Entonces, ¿cuál debilidad de la aplicación?

¿El Futuro?

Teorías de conspiración aparte, para fines prácticos, TrueCrypt como aplicación ha desaparecido y ha perdido todo su posible prestigio esto último muy a pesar de que no existen indicios serios de su supuesta debilidad sino todo lo contrario.

Existe una iniciativa internacional para desarrollar una aplicación apropiadamente bautizada "TrueCrypt Next Generation (TCNG)" y hospedar la página así como la organización patrocinadora ¡en Suiza!. La página se encuentra en: truecrypt.ch

Las Lecciones Aprendidas

¿Debería ser motivo de preocupación lo que sucedió con TrueCrypt? La respuesta es "depende". Todo depende del nivel de riesgo que quieras asumir para proteger tu información y las consecuencias que tuviera revelarla.

Podría argumentarse que para la inmensa mayoría de los usuarios de una aplicación como esta, la principal preocupación es simplemente la privacidad de la información y no necesitan protegerla de los ojos de una autoridad gubernamental nacional o extranjera que, por otra parte, podría tener los medios legítimos y perfectamente legales para exigirla durante una investigación judicial. De ser así, TrueCrypt sigue siendo suficiente protección contra la banda de maleantes que quisieran robarte tu laptop, por ejemplo. 

También podría argumentarse que nunca encontraremos un nivel de seguridad perfecto. La mejor seguridad es la que depende de múltiples mecanismos de control.

Aún si TrueCrypt es vulnerable, eso no te debería preocupar mucho si tus documentos importantes estuvieran doblemente cifrados con una segunda herramienta de encripción. Para mencionar tan sólo un ejemplo de esto útlimo, PGP (Pretty Good Privacy) de Symantec es una herramienta parecida, aunque de código "cerrado", disponible comercialmente. Si el precio de una herramienta así no te parece aceptable porque TrueCrypt era gratuito sólo piensa cuánto te costaría que se divulgara tu información.

Sólo el futuro dirá qué fue lo que realmente ocurrió con TrueCrypt. Hasta entonces, la mejor protección es el sentido común. Y tú, ¿ya lo estás usando?


2 comentarios:

  1. No solo truecrypt desaparece, otras herramientas como FreeOTFE, también gratuita ha cerrado su pagina sin ninguna advertencia.
    Yo no soy paranoico... pero de verdad me vigilan

    ResponderEliminar
  2. La cosa no es si estás siendo paranóico, sino si estás siendo "suficientemente paranóico".

    O como decía Henry Kissinger:

    "Just because You're paranoid doesn't mean they're not after You"

    ResponderEliminar