TrueCrypt ha muerto, encripta tus archivos de la nube con GnuPG

En 2012 escribía este post dándote la idea de añadir una capa de seguridad a los datos que almacenas en Dropbox por medio de TrueCrypt, una aplicación freeware súper popular que servía para encriptar y ocultar datos, y que utilizaba hasta el mismo Edward Snowden. Hablo en pasado porque a lo mejor eres un usuario de TrueCrypt despistado que todavía no lo sabe…

Candado

¿Sabías que desde el mes de mayo de 2014 TrueCrypt ya no recibe soporte? Ahora los archivos encriptados con este software son potencialmente inseguros. En la misma página web de TrueCrypt ya nos alertan sobre esto, advirtiéndonos que la herramienta de cifrado puede contener fallos de seguridad. Nos invitan a buscar soluciones alternativas.

En aquel post de 2012 explicaba muy rápidamente que unos meses antes, en 2011, Dropbox había sufrido un fallo de seguridad tras una actualización que provocó que durante unas horas cualquier usuario pudiera acceder a cualquier cuenta Dropbox, escribiendo cualquier contraseña. Aquello fue un error que introdujo un programador de Dropbox en el mecanismo de autenticación. Imagínate… Compartí la idea de proteger nuestros datos de la nube con TrueCrypt como consecuencia de la alarma que causó todo aquello.

Pero el 28 de mayo de este año 2014 la web de TrueCrypt amaneció con este mensaje: “Using TrueCrypt is not secure as it may contain unfixed security issues”. Traducido al español, “Utilizar TrueCrypt no es seguro porque puede contener algunos problemas de seguridad no resueltos“. Y desde entonces el mensaje sigue ahí.

TrueCrypt ha muerto. Así que hoy te informo de este hecho para que dejes de utilizarlo tan rápido como posible.

Números

Parece que hay que buscar alternativas. Y digo que parece porque el anuncio repentino de TrueCrypt ha levantado todo tipo de teorías conspiranoicas que yo ya no alcanzo a comprender.

  • Que si la NSA pidió a los desarrolladores de TrueCrypt que abandonaran la aplicación porque no quieren que la gente pueda utilizar un software de encriptación tan fuerte.
  • Que si tomas la 1ª letra de las palabras de la frase “Using TrueCrypt is not secure as it may contain unfixed security issues” terminas formando el mensaje secreto en latín uti nsa im cu si, que Google Translate traduce como “If I wish to use the NSA”.
  • Que si TrueCrypt está bajo el control de la NSA.

En fin… Puedes seguir el debate de las teorías de la conspiración en este hilo.

Quizás todo esto genera misterio y expectación, a lo mejor puede ser un tanto morboso, pero yo al final lo único que quiero es tener la sensación de que mis datos están protegidos, y no puedo perder tiempo con todo esto. ¿O tal vez crees que voy a ponerme a investigar el código de TrueCrypt para encontrar bugs? Ya me gustaría a mí.

Por cierto, un recurso muy recomendable que puedes consultar es alternativeto TrueCrypt. Ahí encontrarás un montón de alternativas al obsoleto TrueCrypt. ¿Pero cuál escoger?

En mi búsqueda de alternativas he probado varias aplicaciones, entre ellas VeraCrypt, un fork de TrueCrypt. Algunas personas sostienen que VeraCrypt es una buena opción para encriptar en la nube, sobre todo desde el punto de vista de la comodidad que supone utilizarlo, puesto que las GUIs de TrueCrypt y VeraCrypt son muy parecidas.

Los partidarios de este software, desarrollado por IDRIX, consideran que es seguro porque introduce bastantes cambios con respecto a su predecesor:

  • Los archivos cifrados con VeraCrypt no son compatibles con TrueCrypt.
  • Mejora la seguridad de TrueCrypt añadiendo más iteraciones en los algoritmos de cifrado.
  • La actualización del 15 de septiembre de 2014 corrige varios problemas de seguridad.

Por cierto, no todo son ventajas, por ejemplo, VeraCrypt tarda tiempo en montar las unidades encriptadas.

Pero luego me vino un pensamiento lógico un tanto paranoico. Si VeraCrypt es un fork de TrueCrypt, ¿no estará sujeto a las mismas vulnerabilidades de TrueCrypt? ¿Y si hay algún fallo en el código original de TrueCrypt como aquel del programador de Dropbox de 2011?

Me temo que al final tantos pensamientos paranoicos acerca de la seguridad no nos llevarán a ninguna parte. Además, los datos que puede almacenar alguien como yo no son muy importantes. Tras valorar varias aplicaciones de encriptación de datos te cuento que me termino decantando por…

Logo GnuPG

GnuPG

¿Te acuerdas? Esta semana explicábamos cómo utilizar OpenPGP con Enigmail y Thunderbird para asegurar nuestros correos electrónicos, e hicimos 1 práctica donde creamos un par de claves pública/privada con GnuPG, una implementación libre del estándar OpenPGP.

Pues bien amig@s, coincidiendo que estos días trabajábamos con GnuPG, os cuento que al final me decanto por esta herramienta de software libre para encriptar mis archivos de la nube con criptografía de clave simétrica. Recuerda que la criptografía simétrica usa una misma clave para cifrar y descifrar la información.

Para ver qué algoritmos criptográficos tiene tu GPG puedes ejecutar este comando:

Tiene que salirte una salida parecida a esta:

Los algoritmos de cifrado de clave simétrica son estos:

De forma predeterminada GPG utiliza CAST5.

Dicho lo anterior, para cifrar, por ejemplo, un archivo con el algoritmo AES256, ejecutaremos lo siguiente:

El comando anterior crea el archivo encriptado file.txt.gpg. Para desencriptarlo procederemos así:

Con esto ya podemos subir nuestros archivos encriptados a la nube, pero recuerda que la vulnerabilidad reside principalmente en la passphrase, así que utiliza siempre una passphrase difícil de adivinar. Esto es muy importante. La passphrase es el punto débil de la criptografía simétrica.

Si quieres ampliar la información sobre los sistemas de cifrado simétrico puedes consultar el capítulo 2 de la documentación de GnuPG. Para ver qué dice la documentación de GnuPG acerca de la encriptación de los documentos, clica aquí.

0 comentarios

¿Me dejas un comentario? ¡Gracias!

Deja un comentario

Los campos obligatorios están marcados con *