Finaliza auditoría de TrueCrypt con balance positivo, pero…

Por , actualizado en

Logo de TrueCrypt

Para estas fechas hace un año se anunciaba que el desarrollo de TrueCrypt se detenía y el producto estaba muerto en esencia. En esas mismas fechas ya estaba en marcha un plan de auditoría para este producto, plan que se iba a dar en dos fases; la primera no arrojó problemas significativos: la segunda que acaba de terminar hace poco y la más importante de las dos, arrojó que no hay backdoors de la NSA en el software, aunque si hay algunas vulnerabilidades pero que no son deliberadas. Ahora bien, puesto que TrueCrypt está en coma indefinido, ¿que pasará con las vulnerabilidades? tienes dos opciones más, que en si son forks de TrueCrypt, y que son VeraCrypt y CipherShed, ambos con sus historias y ambiciones particulares, y que a mi parecer representan otro nivel de confianza más allá de TrueCrypt, y que deberían pasar por el mismo proceso de auditoría sólo para estar al mismo nivel. Si quieres ser verdaderamente paranoico, VeraCrypt está alojado en CodePlex, y CodePlex es de…Microsoft. El mismo Microsoft que colaboró con la NSA en el pasado…

Pero regresando al tema: creo que a pesar de que TrueCrypt pasó las pruebas con calificaciones relativamente positivas, aún quedan muchas preguntas que deberían ser respondidas, como porqué se terminó tan abruptamente el desarrollo de TrueCrypt, situación que algunos especulan se debe a que algún gobierno (entiéndase: el gringo) descubrió quienes eran los desarrolladores, y quisieron coaccionarlos a poner un backdoor en el software, y éstos prefirieron matarlo antes que modificarlo de esta manera. Creo que los desarrolladores originales de TrueCrypt deberían publicar algo y esclarecer que fue lo que pasó realmente. Si a ellos, que nadie sabe por ahora quienes eran, les hicieron algo parecido…¿que no podrán hacer con los desarrolladores de VeraCrypt y CipherShed, que se asocian con sus proyectos libremente?

En lo que a mi respecta, el daño a TrueCrypt y derivados ya está hecho; no veo como confiar al 100% en un producto así, que plantea serias interrogantes en cuanto a su funcionamiento.

Deja un comentario