Tras el abandono de TrueCrypt muchos desarrolladores decidieron copiar el proyecto del software de cifrado para continuar con el desarrollo por su propia cuenta. La alternativa más conocida de este desarrollo es sin duda VeraCrypt, aunque también hay otros proyectos que siguen un desarrollo independiente como CipherShed que también quieren hacerse un hueco dentro de los sistemas de seguridad.
La reciente auditoría de TrueCrypt ha demostrado que la herramienta era totalmente segura y estaba libre de todo tipo de vulnerabilidades, sin embargo, es posible que sus principales aplicaciones derivadas no sean tan seguras domo deberían ser, o por lo menos, dependiendo de la profesión de cada desarrollador.
Uno de los problemas de los que más especulaba la gente era de un posible control de la NSA sobre la herramienta libre. Aunque se ha demostrado que esto no es cierto, ahora es posible que una de las versiones derivadas de TrueCrypt, CipherShed, sí que pueda estar en manos gubernamentales.
Una demostración de lo anterior lo podemos ver al analizar el perfil profesional de Jason Pyeron, uno de los fundadores del proyecto. Tal como muestra en su página de Linkedin, este desarrollador participa en un programa llamado «DISA«. ¿Qué es esto? Si consultamos más información en una fuente de confianza, DISA es un programa gubernamental para el departamento de defensa.
CipherShed sigue siendo una herramienta de código abierto, pero es responsabilidad de la comunidad analizar con cuidado los cambios que se introduzcan en esta herramienta, incluso buscar todo tipo de puertas traseras escondidas a simple vista como fue el caso del algoritmo Dual_EC_DRBG, que fue modificado y debilitado para poder ser explotado en caso de necesidad.
Desde VeraCrypt, como es obvio, nos recomiendan utilizar si herramienta ya que es más fiable y tiene garantizada su robustez y nos avisan que los usuarios que prefieran seguir utilizando su rival deben hacerlo bajo su cuenta en riesgo ya que aunque no se ha demostrado todo lo anterior, no hay programa que no haya sido comprometido cuando entidades gubernamentales han puesto la mano en él.
¿Qué opinas de CipherShed? ¿Podría ser una herramienta de fiar o el mejor evitarla?
Fuente: VeraCrypt