Desde hace unas horas, la página oficial del proyecto TrueCrypt redirige a otra alojada en SourceForge, donde se advierte a los usuarios que el uso de TrueCrypt no es seguro, ya que puede contener problemas de seguridad no resueltos. En este mismo sitio se comunica el fin del proyecto.
Si la advertencia como tal ya es extraña, no lo es menos la recomendación para migrar a Bitlocker como alternativa. Recomendación que se refuerza con una guía detallada del proceso de migración, además de ofrecer una versión de TrueCrypt (7.2), firmada con la clave oficial del proyecto, que sólo sirve para extraer los datos que tengamos cifrados con el programa y que no permite cifrar datos nuevos. A raíz de este anuncio se han desatado todo tipo de conjeturas sobre qué está pasando con TrueCrypt.
TrueCrypt es un software de código abierto, disponible para los sistemas operativos más implantados, que se ha ganado un merecido prestigio como solución de seguridad para proteger datos confidenciales.
En fechas recientes el programa ha pasado con cierto éxito una auditoria, donde se han encontrado algunos fallos, que no se han considerado como de alto riesgo, ni comprometen la seguridad de TrueCrypt a corto plazo. Tampoco se ha constatado que el software contenga algún tipo de puerta trasera.
Como podéis imaginar, las especulaciones sobre el asunto son de todos los colores. Hay quien piensa que los fallos de seguridad encontrados son la causa de la desaparición del proyecto, y quien piensa que existe algún tipo de ataque sobre el sitio oficial de TrueCrypt, muy elaborado por lo que parece.
La nueva y descafeinada versión del programa que se ofrece, contiene la misma advertencia de seguridad. Por otro lado, según informa The Register, la función SmartScreen de Windows 8.1 bloquea la instalación del ejecutable para Windows, lo que pudiera significar que el instalador contiene algún tipo de malware.
No deja de ser extraño también, que un proyecto de código abierto recomiende como solución una alternativa propietaria, aunque sólo sea por un problema de "principios". Todo resulta bastante confuso, la verdad.
El misterio se acrecienta por el hecho de que Matthew Green, un especialista en criptografía de la Universidad Johns Hopkins, y participante en la reciente auditoria de TrueCrypt, no ha tenido noticias previas sobre el supuesto abandono del proyecto, el anuncio le parece auténtico y sus intentos por contactar con los responsables del proyecto, cuya identidad es hasta cierto punto secreta, no han tenido éxito, según informa Ars Technica.
Ante semejante marea de confusión, la única recomendación prudente es no descargar la nueva versión 7.2, dejar los datos cifrados tal y como los tengamos, y que no cunda el desconsuelo, pánico, o cualquier reacción que se pueda tener, hasta que no se arroje más luz sobre tan turbio asunto.
Ver 19 comentarios
19 comentarios
atoi
Considerando lo inopinado del asunto, le pongo una ficha a la teoría del ataque elaborado.
bauglir
En la Wikipedia en inglés, refieren a un hilo de Reddit en el que la gente comenta que puede tratarse de una jugada como la que le hicieron a Lavabit: obligarles a introducir agujeros de seguridad para interés de alguna agencia de seguridad, ante lo cual habrían decidido cerrar el proyecto.
Esta teoría tendría sentido teniendo en cuenta la falta de contestación del equipo de desarrollo ante los intentos de contacto que están haciéndose; sería posible que les hayan prohibido comentar nada.
260397
Sospechoso por:
1-La redirección de la web.
2-La reciente auditoría no mostró nada severo y si lo hubiera lo corregirían en una última versión y no harían una nueva sólo para eso.
3-Si es software libre no pueden cerrarlo así como así.
4-Que confíen en Windows BitLocker y los otros... cuando TrueCrypt siempre ha demostrado que es el más seguro.
darevas1
omg
yo lo uso y lo tengo instalado en mi pc!!
de ser cierto su muerte, que otro software es recomendable para encriptar el hdd y el booteo??
gracias por la noticia, ojala se resolvieran esas dudas.
perfidalbionis
Una agencia yanquie haciendo de las suyas (se admiten apuestas); por cierto, otra prueba de que no entienden como funciona el software libre.
Santiago Garcia
- Alguna luz sobre el asunto?
- Algun reemplazo multiplataforma?
No vendria mal un analisis de Genbeta de como el tema ahora que parece que se nos va la mejor opción. Soluciones propietarias, soluciones libres....
mrfloppy
Me se de un "profesional" que se va a tirar de los pelos de los...
angel77441
De igual manera me parece algo extraño que hagan un lanzamiento de una versión nueva, cuando en ese caso no debería haber problemas para desencriptar los archivos con la versión que ya se tiene, no entiendo por que el motivo de una supuesta nueva versión solo para eso.
Creo y espero que sea un caso de hackeo del sitio, porque además como dicen todos los demás, por que recomendar BitrLocker cuando debajo de TrueCrypt hay mas alternativas antes de llegar a BitLocker... en fin, esperemos a ver que pasa.
elmerovingio
Lo más seguro es que hayan robado las contraseñas de los gestores de TrueCrypt.
Han borrado los repositorios de código para entorpecer un fork de la comunidad, y ahora sólo queda un archivo zip con el código de la última versión, la que está capada.
Lamentable.
A ver si se juntan varios que hubieran actualizado el git hace poco, y habemus fork...
azuajefr
Otro caso para SH
almarag
Adicionalmente han eliminado las versiones anteriores para evitar así un fork. Todo suena a que están siendo presionados para desaparecer truecrypt. No cuesta en este caso pensar en esta teoría dado que siempre este software ha estado envuelto en un mar de misterio desde el principio y es muy probable que sean un frente incómodo no nada más para la NSA sino para otros gobiernos o agencias de seguridad en el mundo. En todo caso, es una muy mala noticia ya que esto puede considerarse una forma de aterrorizar y desincentivar a los desarrolladores que no quieran pasar por el aro y a los usuarios que quieran protegerse de alguna manera de sus gobiernos.
John Appleseed
La recomendación de Bitlocker, viene por el hecho de ser parte del sistema operativo Windows, si vamos a "otras plataformas": http://truecrypt.sourceforge.net/OtherPlatforms.html
Recomiendan usar "Utilidad de discos" en Mac y en Linux directamente dicen buscar cualquier "package" para cifrar.
En otras palabras no recomiendan una herramienta en particular (En caso de que fuera un hackeo y alguien quisiera que usáramos alguna herramienta con un backdoor).
Hay que recordar que la auditoria que recibió TrueCrypt fue sólo la primera fase (pasó con criticas sobre errores y calidad de código), y estaban a la espera de la segunda fase.
Personalmente creo que en la segunda auditoria se encontró algo gordo, y han decidido cerrar así, de pronto, sin especificar nada para no dar pistas a la NSA de una posible vulnerabilidad.
Sergio Alba
Al parecer resucita desde Suiza para evitar"interferencias de gobiernos". Veremos en qué queda.
Santiago Garcia
La comunidad toma el relevo :
http://truecrypt.ch/
Truecrypt no debe morir!!!!!
De momento la versión es la anterior a la desaparicion asi que conviene revisar el codigo en busqueda de backdoors...
hydria
Hacendado me allo, asi tan de sopeton mmmm, truecrypt y sus misterios.