El popular software de cifrado TrueCrypt se despide de forma misteriosa

Con los usuarios cada vez más preocupados por la privacidad de sus datos, no es de extrañar que aquellos programas que permiten añadir cifrado a todos aquellos archivos que consideremos privados hayan tenido un incremento en su uso durante los últimos años y, especialmente, en los últimos meses.

Es el caso de TrueCrypt, el popular software de cifrado de código abierto utilizado por millones de personas en todo el mundo, considerado casi como un estándar de facto. A pesar de que durante toda su existencia siempre ha estado rodeado por un halo de misterio, puesto que no se conocen las identidades de sus creadores, eso no ha impedido que se hayan ganado la confianza de muchos usuarios.

Por eso resultó inesperado el mensaje que nos encontramos el pasado miércoles por la tarde cuando accedíamos a la web del programa:

web

Nada más entrar y destacándolo en color rojo un aviso que nos indicaba que el uso de TrueCrypt ya no era seguro, puesto que el programa podría contener fallos de seguridad sin solucionar. Seguidamente, se nos daban instrucciones para configurar y empezar a utilizar Bitlocker, el sistema de cifrado que Microsoft incorpora en las versiones Ultimate y Enterprise de sus sistemas Windows desde Vista.

Esta recomendación resulta cuando menos sorprendente viniendo de los desarrolladores de uno de los programas de código abierto más utilizado de los últimos años. En vez de recomendar otra aplicación similar se decantaron por una privativa con una filosofía opuesta a la suya.

Al principio se pensó que la web había sufrido algún tipo de ataque y todo se trataba de una broma pesada pero, tras revisar el propio instalador, se comprobó que al tratar de instalarlo nos aparecía un mensaje similar:

aviso

Entonces se empezó a pensar que alguien había comprometido la seguridad del programa y había conseguido introducir ese mensaje o algo más en la versión más reciente del programa, la 7.2, lanzada el pasado día 27 de mayo. Esto hubiera sido algo mucho más grave pero no fueron pocos los que apuntaron a un detalle que se había pasado por alto y es la validez de los certificados utilizados para firmar el ejecutable.

Si alguien hubiera conseguido colar una versión falsa de TrueCrypt, en teoría el certificado utilizado por los creadores originales no debería ser el mismo ya que, salvo robo de este certificado, únicamente los desarrolladores podrían usarlo para firmar sus ejecutables. Pero como vemos en esta imagen que publicó el investigador Sergio de los Santos, tanto el certificado anterior como el actual son válidos.

certificado

Una vez descartadas estas posibilidades solo queda pensar en que o bien alguien ha presionado a los desarrolladores para que abandonen el programa, o estos han decidido dar por finalizado su ciclo de vida. Cualquiera de estas posibilidades es sorprendente, como lo es la excusa que alegan los desarrolladores en su comunicado. El fin del soporte de Windows XP por parte de Microsoft es el motivo principal según la nota oficial, algo que no tiene mucho sentido puesto que TrueCryp es usado en múltiples sistemas Windows, GNU/Linux y Mac.

El caso es que, a día de hoy, son muchos los usuarios preocupados por la privacidad de los datos que han cifrado confiando en TrueCrypt y ya se están empezando a publicar listas de software alternativo. Los usuarios que quieran hacer un uso personal de estos softwares de cifrado tienen un amplio abanico donde elegir, pero las empresas quieren y necesitan una garantía de que el programa que elijan cuente con una compañía de confianza detrás de su desarrollo y el soporte adecuado para poder confiar sus datos críticos.

Precisamente, el miércoles presentamos Deslock+, una aplicación de cifrado que forma parte de las alianzas tecnológicas de ESET en su afán de ofrecer la mejor protección para empresas con una amplia gama de soluciones que complementen a los productos de seguridad informática ESET. Por eso, si eres una empresa o particular que está preocupado por tu privacidad, más aun tras conocer la noticia del abandono de TrueCrypt por parte de sus desarrolladores, te invitamos a que pruebes Deslock+ gratuitamente y nos comentes tus inquietudes.

Josep Albors

Un mal «out of the box»