Desde hace unas horas, la página oficial del proyecto TrueCrypt redirige a otra alojada en SourceForge, donde se advierte a los usuarios que el uso de TrueCrypt no es seguro, ya que puede contener problemas de seguridad no resueltos. En este mismo sitio se comunica el fin del proyecto.
Si la advertencia como tal ya es extraña, no lo es menos la recomendación para migrar a Bitlocker como alternativa. Recomendación que se refuerza con una guía detallada del proceso de migración, además de ofrecer una versión de TrueCrypt (7.2), firmada con la clave oficial del proyecto, que sólo sirve para extraer los datos que tengamos cifrados con el programa y que no permite cifrar datos nuevos. A raíz de este anuncio se han desatado todo tipo de conjeturas sobre qué está pasando con TrueCrypt.
TrueCrypt es un software de código abierto, disponible para los sistemas operativos más implantados, que se ha ganado un merecido prestigio como solución de seguridad para proteger datos confidenciales.
En fechas recientes el programa ha pasado con cierto éxito una auditoria, donde se han encontrado algunos fallos, que no se han considerado como de alto riesgo, ni comprometen la seguridad de TrueCrypt a corto plazo. Tampoco se ha constatado que el software contenga algún tipo de puerta trasera.
Como podéis imaginar, las especulaciones sobre el asunto son de todos los colores. Hay quien piensa que los fallos de seguridad encontrados son la causa de la desaparición del proyecto, y quien piensa que existe algún tipo de ataque sobre el sitio oficial de TrueCrypt, muy elaborado por lo que parece.
La nueva y descafeinada versión del programa que se ofrece, contiene la misma advertencia de seguridad. Por otro lado, según informa The Register, la función SmartScreen de Windows 8.1 bloquea la instalación del ejecutable para Windows, lo que pudiera significar que el instalador contiene algún tipo de malware.
No deja de ser extraño también, que un proyecto de código abierto recomiende como solución una alternativa propietaria, aunque sólo sea por un problema de "principios". Todo resulta bastante confuso, la verdad.
El misterio se acrecienta por el hecho de que Matthew Green, un especialista en criptografía de la Universidad Johns Hopkins, y participante en la reciente auditoria de TrueCrypt, no ha tenido noticias previas sobre el supuesto abandono del proyecto, el anuncio le parece auténtico y sus intentos por contactar con los responsables del proyecto, cuya identidad es hasta cierto punto secreta, no han tenido éxito, según informa Ars Technica.
Ante semejante marea de confusión, la única recomendación prudente es no descargar la nueva versión 7.2, dejar los datos cifrados tal y como los tengamos, y que no cunda el desconsuelo, pánico, o cualquier reacción que se pueda tener, hasta que no se arroje más luz sobre tan turbio asunto.
Ver 19 comentarios