Cuando vamos a utilizar un software de cifrado, además de utilizar herramientas de código abierto, una de las medidas básicas de seguridad es utilizar una contraseña larga, compleja y segura de manera que nuestros datos queden lo más protegidos posibles y evitemos que, si alguien intenta romper el cifrado de nuestros datos, por ejemplo, por fuerza bruta, no pueda hacerlo. Sin embargo, las vulnerabilidades no siempre son responsabilidad del usuario, tal como ha ocurrido en esta ocasión con el software de cifrado Cryptkeeper.
Cryptkeeper es una herramienta gratuita y de código abierto utilizada principalmente para permitir a los usuarios cifrar fácilmente el contenido de carpetas del sistema. Esta herramienta puede traducirse como una interfaz de EncFS y, debido a su facilidad de uso, es una de las más utilizadas para proteger datos de forma rápida y simple.
Recientemente, un investigador de seguridad llamado Kirill Tkhai ha encontrado un fallo muy grave en Cryptkeeper que hace que todos los datos cifrados con esta herramienta puedan descifrarse utilizando una sola letra como contraseña maestra: «p». Este fallo se ha generado a partir de una actualización del módulo EncFS la cual solucionaba un fallo de implementación muy antiguos que, al hacerlo, ha cambiado la forma en la que interactúan EncFS y Cryptkeeper, permitiendo que dicha letra se convierta en la clave maestra y permita descifrar cualquier archivo cifrado por ella.
El fallo de Cryptkeeper solo afecta a Debian 9
La versión de EncFS responsable de esta grave vulnerabilidad es la 1.9.1-3. Esta versión fue, además, recientemente añadida a Debian 9 «Stretch». Por suerte, esta versión del sistema operativo aún se encuentra en fase de pruebas y su cuota de mercado es muy reducida, por lo que el impacto de la misma es muy reducido, casi irrelevante, pero, de todas formas, preocupante.
Los usuarios que utilicen Debian 8, la versión estable del sistema operativo, tendrán instalado en su sistema EncFS 1.7.4-5, por lo que sus datos cifrados no están expuestos y permanecen totalmente seguros, tal como debería ser.
Los responsables del desarrollo de Debian han decidido eliminar Cryptkeeper de la versión 9 de este sistema operativo, al menos hasta que se consiga solucionar definitivamente este error de implementación. Una vez que esta herramienta de cifrado funcione sin problemas con EncFS se volverá a incluir de manera que cuando llegue Debian 9 a la rama «estable» sus usuarios puedan hacer uso de todo el sistema de forma segura.
Un fallo muy serio, aunque su alcance haya sido muy limitado
Como hemos dicho, este fallo solo ha afectado a Debian 9, un sistema operativo que aún se encuentra en fase de pruebas, por lo que, dentro de su gravedad, es un fallo aceptable, para eso están las versiones de desarrollo de los sistemas operativos, para poder encontrar y solucionar fallos de seguridad antes de que sea demasiado tarde. Sin embargo, eso no quiere decir que el hecho no sea preocupante.
Debemos tener en cuenta que las herramientas de cifrado, como es esta, son herramientas muy críticas donde la máxima prioridad es que sea una herramienta robusta y segura. Que un fallo de implementación de su módulo principal abra la puerta a este tipo de vulnerabilidades es digno de preocupación y debería hacernos preguntarnos si de verdad este tipo de herramientas protegen realmente nuestros datos o tienen un mantenimiento y testeo insuficientes para su crítico funcionamiento.
¿Qué opinas de que una herramienta de cifrado pueda cometer este tipo de errores de implementación?