TrueCrypt ya no está disponible. Prueba estas alternativas gratis

Published by on abril 20, 2018 in Seguridad de la información

bank vaults

TrueCrypt era un programa gratuito y de código abierto para encriptar discos, lanzado por primera vez en 2004. Este freeware dejó de estar disponible en mayo de 2014 y ya no se actualiza.

El programa sirve para crear particiones encriptadas en el disco duro o para crear discos virtuales encriptados dentro de un archivo. Una vez encriptados hace falta una contraseña para acceder a los datos almacenados en esa partición. TrueCrypt era un método popular de encriptación de discos tanto en sistemas operativos Mac OSX como Windows. Lo usaban millones de usuarios.

Desde que sus anónimos desarrolladores abandonaron TrueCrypt en circunstancias algo misteriosas, han surgido todo tipo de menciones a potenciales fallos de seguridad capaces de comprometer los datos de sus usuarios. La más preocupante ha venido de los analistas de seguridad del Project Zero de Google, que descubrieron dos vulnerabilidades previamente desconocidas. Una permite que una aplicación con privilegios de un usuario estándar se eleve a los que corresponden a uno de nivel de administrador.

¿TrueCrypt es seguro?

El Instituto Fraunhofer para la Seguridad de las Tecnologías de Información hizo en 2015 una auditoría formal de la última versión estable de TrueCrypt. El informe de 77 páginas reflejó varios otros bugs de TrueCrypt, pero en última instancia concluye que es un programa seguro cuando se usa para su objetivo principal, es decir, para encriptar datos almacenados por ejemplo en un disco duro externo o una unidad USB. El Instituto confirmó la existencia de los bugs descubiertos por Google, pero aclaró que no pueden aprovecharse para dar a un atacante acceso a los datos encriptados.

Aunque el Instituto diera su parecer positivo en cuanto a la encriptación de datos en una unidad externa, no hizo lo mismo en cuanto a cifrados en la memoria del equipo o en una unidad montada. Cuando una unidad está montada, la clave utilizada para encriptar los datos se guarda en la memoria del equipo. Eso hace que pueda descubrirse y usarse después para descifrarlos.

Aun así es bastante improbable que un hacker consiga aprovecharse de eso en la práctica. Para ello tendría que estar montado el contenedor encriptado, y en ese caso, ya serían accesibles los datos cifrados de todas formas. Si no, el equipo tendría que entrar en hibernación estando montado ese contenedor. En cualquier caso, todo está perdido si alguien consigue entrar en tu equipo cuando está abierto un contenedor encriptado. Para prevenir todo esto, los usuarios no deberían permitir que el equipo entre en hibernación si contiene unidades encriptadas, montadas y abiertas.

¿Debería usar TrueCrypt?

Si tienes instalada alguna de las versiones originales de TrueCrypt en un equipo antiguo y no lo usas en unidades montadas, no deberías tener muchos problemas, salvo en los improbables escenarios anteriores. Ya sabes que TrueCrypt es menos seguro para ese tipo de unidades, por las razones comentadas.

Si no lo tienes ya, puede ser arriesgado descargarlo e instalarlo ahora. No olvides que lleva más de tres años oficialmente abandonado y desde entonces no existe una página oficial de descarga. Algunos sitios web y torrents afirman ofrecer una copia original de TrueCrypt, pero es difícil saber con seguridad si la han cambiado o no, sobre todo si no eres un experto en software.

También hay usuarios que sugieren copias disponibles en Github, donde es posible auditar el código abiertamente. Pero la realidad es que la mayoría de esos sitios de descarga no han sido verificados por expertos, porque eso implica tiempo y esfuerzo. El Proyecto Open Crypto asegura que este sitio de descarga en Github contiene una copia verificada de TrueCrypt 7.1.

Por otro lado, hay quien dice que TrueCrypt contiene “puertas traseras” (backdoors) de agencias gubernamentales, aunque no haya pruebas que lo confirmen.

Si estás decidido a usar TrueCrypt, probablemente esa sea tu mejor opción. Pero te recomendamos probar algunas alternativas más modernas. Varias de estas herramientas de encriptación de disco se basan en el TrueCrypt original, mientras que otras se han desarrollado de forma independiente.

Alternativas a TrueCrypt

Aquí tienes una breve enumeración. Ve abajo más detalles de cada una:

  • VeraCrypt es de código abierto y auditado, incluye mejoras respecto a TrueCrypt, funciona en Mac y PC y permite crear contenedores cifrados.
  • Bitlocker está integrado en Windows, no es de código abierto, solo encripta discos completos y no ofrece mecanismos de negación creíble.
  • DiskCryptor solo funciona en Windows, es de código abierto aunque no auditado, permite instalar un gestor de arranque (bootloader) en un USB o CD y es más rápido que otras alternativas.
  • Ciphershed también está basado en TrueCrypt, funciona con antiguos contenedores cifrados de TrueCrypt, no se actualiza con mucha frecuencia y funciona en Mac, PC y Linux.
  • FileVault 2 está integrado en Mac OSX Lion y versiones posteriores, solo permite encriptar discos completos y no es de código abierto.
  • LUKS es una opción de código abierto para Linux, admite varios algoritmos de cifrado, pero no ofrece mucho soporte a sistemas que no sean Linux.

VeraCrypt

VeraCrypt está basado en TrueCrypt y suele considerarse su heredero. Consigue hacer lo mismo que él y algunas cosas más. VeraCrypt ofrece seguridad extra en los algoritmos que usa para encriptar el sistema o particiones. Según sus desarrolladores, estas mejoras lo hacen inmune a avances que ha habido últimamente en los ataques de fuerza bruta. Puedes encontrar aquí una lista completa de mejoras y correcciones de VeraCrypt respecto a TrueCrypt.

Por ejemplo, VeraCrypt realiza treinta iteraciones más que TrueCrypt a la hora de encriptar archivos contenedores y particiones. Eso implica que las particiones tarden un poco más en inicializarse y que a los contenedores les lleve un poco más de tiempo abrirse. Pero no afecta en sí al uso del programa.

VeraCrypt es gratis y de código abierto. Y siempre lo será. Su código es auditado periódicamente por expertos independientes. Y dado que es en esencia muy parecido a TrueCrypt, también son válidas para él las auditorías hechas al TrueCrypt original.

VeraCrypt ofrece dos tipos de negación creíble (el usuario puede negar la existencia de datos cifrados porque la parte contraria no consigue demostrar que existan esos datos, incluso sin estar cifrados). Los volúmenes ocultos se alojan en el espacio libre que hay en volúmenes contenedores visibles, un espacio que estaría relleno de valores (ceros y unos) aleatorios si no existiese ese volumen oculto. Los sistemas operativos ocultos funcionan paralelamente a los visibles. Si alguien intenta forzarte a confesar tu contraseña de descifrado, puedes limitarte a darle solo la del sistema operativo visible.

Bitlocker

Bitlocker es una popular herramienta exclusiva para Windows, utilizada para encriptar volúmenes completos, usando el algoritmo de cifrado AES, con claves de 128 o 256 bits. Bitlocker no es capaz de crear contenedores encriptados, a diferencia de TrueCrypt o VeraCrypt. Y hay que encriptar las particiones completas de una sola vez.

Aunque este enfoque pueda ser útil en algunos casos, ten en cuenta que todos tus archivos serán visibles para cualquiera con acceso a tu equipo si lo dejas con la sesión iniciada. Windows ofrece otro sistema de encriptación llamado EFS por las siglas en inglés de Encrypted File System (sistema de archivo encriptado). Se usa para cifrar archivos individuales o carpetas, pero todos están también desbloqueados mientras el usuario tenga la sesión iniciada.

Bitlocker no es de código abierto, lo que implica que no se puede inspeccionar públicamente para saber si incluye puertas traseras. Eso quizá eche atrás a muchos, dada la cordial relación que existe entre Microsoft y la NSA. También generó preocupación que Microsoft quitara el Elephant Diffuser por cuestiones de rendimiento. Es una característica que previene la modificación del disco encriptado.

Bitlocker no cuenta con ningún mecanismo de negación creíble. Aun así, llegado el caso podrías argumentar que los contenidos de tu disco duro se modificaron por culpa del eliminado Elephant Difusser. Aunque sería mucho decir.

Bitlocker comprueba que ningún atacante haya cambiado el software con el que se arranca el equipo.

DiskCryptor

DiskCryptor es otra opción de encriptación del disco completo, exclusiva para Windows. Comparándolo con los anteriores, se le han hecho muy pocos análisis de seguridad formales, a pesar de ser de código abierto. Tampoco sabemos mucho acerca de sus autores y sus motivaciones. Hay un gran escepticismo en cuanto a la fiabilidad del programa. Entonces, ¿por qué es tan popular?

DiskCryptor es rápido y fácil de usar. Exige muchos menos recursos del equipo y encripta más deprisa que TrueCrypt. DiskCryptor ofrece encriptación con AES de 256 bits, Twofish, Serpent o una combinación de algoritmos encadenados en modo XTS. Serpent es aparentemente el más rápido.

DiskCryptor permite encriptar unidades externas, incluidos discos duros, unidades USB, CD y DVD. Y ofrece varias opciones de arranque múltiple.

Probablemente no sea la mejor opción si pretendes ocultarle algo a la NSA, pero debe servirte en caso de que te roben el equipo o si un sobrino entrometido intenta acceder a tus archivos.

La opción de negación creíble de DiskCryptor incluye instalar un gestor de arranque (bootloader) del equipo en una unidad USB o CD. Sin ese bootloader, los contenidos encriptados del disco duro parecen solo espacio vacío y datos aleatorios. El inconveniente de ese método es tener que arrancar siempre el equipo con el bootloader en CD o USB para poder descifrar los datos.

CipherShed

CipherShed empezó también como un programa basado en TrueCrypt, igual que VeraCrypt. Está disponible para Windows, Mac OSX y Linux, aunque hace falta compilarlo para poder usarlo con los dos últimos. Su primera versión no alfa (no muy preliminar) se lanzó en febrero de este año, pero todavía no existe una versión final (1.0 o posterior).

Su desarrollo parece mucho más lento que el de VeraCrypt, pero va avanzando poco a poco. Ya han corregido los problemas de TrueCrypt.

CipherShed no es muy diferente de VeraCrypt, excepto que está muy por detrás en cuanto a su desarrollo. Permite encriptar discos completos o crear contenedores cifrados.

Una ventaja de CipherShed es que puede usarse con contenedores de TrueCrypt, mientras que las versiones más recientes de VeraCrypt no lo permiten. El número creciente de derivación de claves de VeraCrypt (las iteraciones mencionadas antes) lo hacen incompatible con contenedores de TrueCrypt, aunque discutiblemente también más seguro.

CipherShed utiliza volúmenes ocultos, como VeraCrypt, para permitir la negación creíble.

FileVault 2

FileVault 2 es la respuesta de Apple a Bitlocker. Este programa, exclusivo para Mac, usa el algoritmo AES-XTC de 128 bits para encriptar discos completos y fue lanzado por primera vez con OSX Lion. La contraseña de inicio de sesión del usuario se usa también como clave de encriptación.

Al igual que Bitlocker, FileVault 2 tampoco permite crear contenedores encriptados. Eso implica que una vez que inicies sesión en tu Macbook, todos los datos de tu disco duro quedan descifrados y visibles hasta que apagues el equipo.

Otra similitud que comparte con Bitlocker es que FileVault 2 no es de código abierto, por tanto no es posible auditarlo públicamente y puede contener puertas traseras.

LUKS

Destinado a usuarios de Linux, LUKS se basa en cryptsetup y usa dm-crypt como apoyo para la encriptación del disco. LUKS son las siglas en inglés de Linux Unified Key Setup (configuración de clave unificada para Linux). Especifica un formato estándar de disco independiente de la plataforma que puede usarse con varias herramientas.

LUKS no tiene todas las características de VeraCrypt u otras aplicaciones, pero ofrece más flexibilidad en lo que se refiere a algoritmos de cifrado.

No funciona muy bien entre sistemas operativos distintos y en realidad solo lo hace bien del todo en Linux, aunque los usuarios de Windows puedan acceder a discos encriptados con LUKS usando LibreCrypt.

LUKS no ofrece opciones de negación creíble.

Un comentario sobre la negación creíble

No elijas tu programa de encriptación basándote en el mecanismo de negación creíble que ofrezca. Aunque sea un extra interesante, es una defensa poco sólida.

En lo que se refiere a la encriptación de discos, la negación creíble se basa en que no sea posible probar la existencia de datos cifrados en un equipo, porque esos datos cifrados no parecen datos, sino solo “ruido” aleatorio.

El problema es que ese ruido puede parecer demasiado aleatorio y un experto sagaz puede descubrir que el disco ha sido encriptado (es lo que se llama un análisis de entropía). El argumento de que la negación creíble pueda servir de algo ante un tribunal o bajo tortura es muy discutible.

Usar una VPN para encriptar tus comunicaciones de datos

La encriptación de disco protege tus datos mientras estén guardados en tu equipo o unidad externa, pero no sirve de nada con los que transmites a través de Internet. Para eso necesitas una VPN.

VPN son las siglas de Virtual Private Network (red privada virtual). Sirve para encriptar todo el tráfico de Internet de tu equipo y redirigirlo a través de un servidor situado en la ubicación que tú elijas. Ese túnel encriptado protege la comunicación de tus datos, tanto de tu proveedor de acceso como de cualquiera en la red local que pueda estar intentando husmear en ellos. Dejan de estar encriptados cuando salen del servidor VPN, pero en ese momento parecerá que todo ese tráfico proviene de la IP del servidor y no de la tuya real. Lo normal es que la IP del servidor la compartan decenas o incluso centenas de usuarios. Es un modo eficaz de mantener el anonimato de lo que hagas en línea. Puedes ver aquí nuestra selección de los mejores proveedores de VPN.

Bank vaults under Hotels in Toronto, Ontario” por Jason Baker autorizada mediante CC BY 2.0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.