Finaliza la auditoría externa a TrueCrypt y no encuentran fallos graves de seguridad

Finaliza la auditoría externa a TrueCrypt y no encuentran fallos graves de seguridad

Sergio De Luz

Desde los inicios el software TrueCrypt ha dado mucho de qué hablar, sobre todo en el mundo de la seguridad informática. En muchas ocasiones las autoridades han intentado descifrar contenedores TrueCrypt pero en todas ellas el resultado ha sido el mismo: imposible de descifrar.

Sin embargo, todos sabéis del cierre repentino de TrueCrypt, donde sus autores desvelan que actualmente no es un software seguro y que es mejor usar BitLocker para sistemas operativos Windows. Los que apoyan la teoría de la conspiración, declaran que TrueCrypt es tan seguro que la NSA amenazó a sus desarrolladores si no paraban su mantenimiento y desarrollo, de hecho en algunos foros analizaron palabra por palabra el comunicado oficial de los desarrolladores de TrueCrypt para ver si había un código oculto en él.

Ahora la compañía de seguridad que estaba realizando una profunda auditoría al software TrueCrypt, ha concluido que aunque tiene leves fallos, el sistema utilizado es bastante seguro. Los fallos más graves encontrados han sido sobre la aleatoriedad a la hora de crear claves, y es que en Windows si falla la API Crypto en lugar de anular la operación, continúa para generar la claves. Aunque es un fallo grave, la explotación es realmente complicada ya que TrueCrypt también se basa en el movimiento del propio cursor del usuario y de otros aspectos del propio sistema. Asimismo otro fallo grave tiene que ver con el cifrado AES, y es que sería vulnerable a un ataque de «caché timing«, esto no será un problema a no ser que la máquina que cifra y descifra los datos sea compartida o que un posible atacante pueda ejecutar código en nuestro propio sistema.

En el informe publicado se da mucha información técnica de cara a los desarrolladores que cogieron el código fuente de TrueCrypt para continuar con el desarrollo, como por ejemplo VeraCrypt.

En este enlace podéis leer un breve resumen de todo el informe de auditoria, y en este enlace el informe completo en formato PDF.

Os recomendamos visitar el tutorial Lynis para realizar una completa auditoría de seguridad para Linux.

2 Comentarios