Desde hace un par de semanas, el sitio web de la herramienta de cifrado más popular, TrueCrypt, ha sido reemplazado bruscamente por una advertencia que indica que el software ya no es seguro y que su desarrollo ha sido interrumpido, junto con una guía sobre cómo migrar a BitLocker. Ante la dificultad de verificar la veracidad de este anuncio, ya que los desarrolladores de TrueCrypt son y siempre han sido anónimos, se desencadenó una ola de comentarios, teorías y preguntas sobre el estado de TrueCrypt, sus posibles fallos y la legitimidad de este documento.
Por un lado, este anuncio resulta repentino, puesto que la herramienta de cifrado acaba de pasar recientemente una auditoría de seguridad sin problemas graves, y por otra parte, el anuncio en sí mismo -su estilo, su redacción e incluso su contenido- resultó sospechoso para muchos usuarios. El programa, ampliamente usado en todo el mundo y recomendado por figuras como Edward Snowden, se había convertido en el blanco de diversos programas de espionaje.
¿Fue hackeado el sitio de TrueCrypt?
Una primera teoría manejaba la noción de que la cuenta SourceForge de los desarrolladores se hubiera visto comprometida de alguna manera, basándose en el hecho de que el binario de TrueCrypt que se encontraba disponible para descarga luego del anuncio había sido compilado el día anterior, y -de acuerdo con la experta en seguridad Runa Sandvik-, usando una clave DSA sospechosa. No obstante, luego se comprobó que el software estaba certificado con la clave oficial de TrueCrypt (aparentemente, fueron revertidas con posterioridad), lo que elimina de plano esta posibilidad. Matthew Green, investigador de seguridad quien participó en la auditoría a TrueCrypt, respalda la noción de que el anuncio es legítimo, es decir, que en verdad fue emitido por los desarrolladores.
¿Es el anuncio de TrueCrypt un “warrant canary”?
Una segunda teoría sostiene que el anuncio es un “warrant canary”, esto es, un método empleado por un proveedor de servicio para informarle a los usuarios que no ha sido citado en secreto por el gobierno de los Estados Unidos. Dado que las citaciones secretas incluyen una prohibición de revelar cualquier información al respecto, un “warrant canary” suele ser un anuncio de fechas en las que el proveedor no ha sido citado, y su falta de actualización en una fecha posterior indicaría que lo ha sido.
En el caso de TrueCrypt, los usuarios han encontrado un sinnúmero de señales que, en su criterio, indicarían que los desarrolladores se encontraban en peligro y no podían revelarlo, y habrían hecho un anuncio deliberadamente poco creíble con la intención de advertir a sus usuarios (recomendar la migración a BitLocker, que usa tecnología a la que los desarrolladores de TrueCrypt se oponían de manera clara; usar una imagen de cifrado en iOS que indica “ningún cifrado”, entre otras razones). Si bien esta teoría resulta un poco oscura, eventos previos como el caso de Lavabit permiten especular que es posible que los desarrolladores se vieran coaccionados para añadir una puerta trasera al software.
Sea como sea, todas las evidencias técnicas (desde el WHOIS y los patrones de uso de la cuenta SourceForge hasta la misma clave) parecen indicar que las personas detrás de lo que sucedió son los verdaderos desarrolladores de TrueCrypt. Quedan abiertas a especulaciones las intenciones detrás de esta decisión.
Si bien las opiniones son diversas con respecto a si la versión anterior (7.1a) de TrueCrypt es o no insegura, todos coinciden en que la versión 7.2, librada junto con el mensaje, no debe ser descargada ni utilizada. No obstante, y a pesar de que la licencia de TrueCrypt no es una licencia de software libre, algunos (como Steve Gibson) se han dado a la tarea de reconstruir el sitio web de TrueCrypt, hacer disponibles los binarios anteriores y continuar con el desarrollo, y otros, como Green, se han comprometido a continuar las auditorías tal como lo venían haciendo, con la expectativa de que TrueCrypt pueda mantenerse con vida.