TrueCrypt es una de las herramientas de cifrado gratuitas y de código abierto más conocidas de la red. Esta herramienta permitía crear volúmenes de datos cifrados y seguros, evitando así que usuarios no autorizados pudieran acceder a los datos. Hace ya algún tiempo, de repente, y por motivos que aún se desconocen, los desarrolladores decidieron abandonar el proyecto alegando «graves vulnerabilidades» en el programa y recomendaban utilizar alternativas privativas como BitLocker. Desde entonces son bastantes las empresas de seguridad que han estado auditando el programa para comprobar su seguridad real, una seguridad que incluso a día de hoy es excelente.
Hace 6 meses, el gobierno alemán comenzó a auditar la herramienta con el fin de poder demostrar si realmente era seguro cifrar datos con ella o, de lo contrario, poseía graves vulnerabilidades en el código tal como se confirmaba. Esta nueva auditoría ha sido llevada a cabo por el BSI alemán y por varios institutos tecnológicos del país. Os recomendamos leer nuestro tutorial sobre qué es el cifrado simétrico.
Tras 6 meses de pruebas y revisión, los resultados de esta nueva auditoría de seguridad demuestran que tanto el programa como sus algoritmos son incluso más seguro de lo que se había demostrado en un primer estudio. Una vez más se demuestra que no existe ninguna evidencia de puertas traseras colocadas deliberadamente (por el FBI, por ejemplo) ni ningún defecto grave que comprometa la seguridad y privacidad de los datos.
Los únicos puntos a destacar de la nueva auditoría de TrueCrypt son que la calidad del código se puede mejorar (aunque estamos hablando de un software libre, con varios colaboradores, lanzado en 2004, hace más de 11 años) y que tampoco estaría mal refactorizar ciertas funciones y mejorar la documentación del código, sin embargo, el programa cumple perfectamente con su función y, una vez más, se demuestra que es totalmente seguro.
Aún se desconoce el por qué de la mentira de los fundadores del proyecto, el abandono del desarrollo y la liberación de la última versión capada en funciones 7.2, aunque, gracias a su naturaleza de código abierto, no tardaron en aparecer herramientas derivadas del proyecto original.
Alternativas a TrueCrypt que aún siguen en desarrollo
Varios desarrolladores comenzaron a crear sus propias versiones derivadas adaptando el código de la versión 7.1a de TrueCrypt. Aunque al principio aparecieron varias aplicaciones diferentes dignas de suceder a este líder en criptografía, finalmente podemos hablar de dos, las principales que han continuado su desarrollo y se han ganado la confianza de los usuarios.
La primera de ellas, y más fiel al programa original es VeraCrypt. Esta aplicación es sin duda la que ha conseguido un desarrollo mucho más rápido y fiable, siendo probablemente la mejor opción, a día de hoy, para sustituir al proyecto original ya que, entre otras características, Veracrypt aún es totalmente compatible con los contenedores originales, aunque cuenta también con su propio empaquetado.
Otra opción que no podemos pasar por alto es CipherShed, un proyecto que, aunque aún se encuentra en desarrollo, adapta el código del proyecto original de TrueCrypt 7.1a a una nueva herramienta libre con un nuevo mantenimiento.
¿Qué opinas sobre TrueCrypt? ¿Crees que el software era realmente seguro tal como demuestran las auditorías de seguridad?