En 2014, sus anónimos desarrolladores anunciaron que dejaban de actualizarla y mantenerla, generando decenas de teorías sobre su abrupta decisión. Pero no está muerta. De hecho, ha vuelto a saltar a las portadas porque se encontró en uno de los ordenadores de los presuntos implicados en los atentados del 13 de noviembre de 2015, en […]
Dirigentes Digital
| 24 may 2016
En 2014, sus anónimos desarrolladores anunciaron que dejaban de actualizarla y mantenerla, generando decenas de teorías sobre su abrupta decisión. Pero no está muerta. De hecho, ha vuelto a saltar a las portadas porque se encontró en uno de los ordenadores de los presuntos implicados en los atentados del 13 de noviembre de 2015, en los que 137 personas fueron asesinadas en París a manos de Estado Islámico.
TrueCrypt y Estado Islámico
Uno de los yihadistas se llamaba Reda Hame. Él no llegó a participar en los atentados porque fue detenido días antes gracias a la información que la policía española entregó a la gendarmería francesa. Gracias a su arresto se ha podido reconstruir la historia de su entrenamiento, que incluía el uso experto de herramientas informáticas para garantizar las conexiones entre Francia y Siria, desde donde se coordinaron los ataques.
Hame es un informático francés de 29 años que viajó a Siria para, una semana después, regresar a París y tratar de cometer los atentados. Según reconstruye el diario The New York Times, su entrenamiento consistió en aprender a disparar con rifles de asalto, lanzar granadas… y usar TrueCrypt para encriptar sus archivos. "La fase final del entrenamiento de Hame ocurrió en un Internet café en Al Raqa [la "capital" del Estado Islámico en Siria], donde un especialista informático de Estado Islámico le dio una llave USB. Contenía CCleaner, un programa utilizado para borrar todo el historial de Internet en un ordenador, así como TrueCrupt, un programa de encriptación que estaba disponible entonces y que, según los expertos, aún no ha podido ser ‘crackeado’", relata el periódico estadounidense. El proceso era el siguiente: Hame, cuando quería comunicarse desde Francia con Siria, pasaba TrueCrypt por los ficheros, los subía a un servidor de almacenamiento turco, y desde allí lo descargaban en Siria. Evitaba así los metadatos de las comunicaciones por e-mail, además de mantener el contenido de las comunicaciones prácticamente imposible de leer sin conocer la contraseña.
Pero Hame cometió un error de principiante, según la policía: apuntó la clave en un papel, que fue encontrado en su mochila cuando la policía gala, alertada por las autoridades españolas, registró su casa.
E4M y los cárteles de la droga
El origen de TrueCrypt está en un programador llamado Paul Le Roux que, desde Filipinas, levantó un auténtico imperio global de tráfico de armas, drogas y lavado de dinero. Según un reciente artículo de Evan Ratliff en The Newyorker, Le Roux es el autor confeso de un sistema de encriptación abierto llamado Encryption For the Masses, encriptación para las masas o E4M. Este sistema es la base informática de TrueCrypt, que fue después desarrollado y mantenido por programadores pro-bono fuera de Estados Unidos.
La popularidad de la herramienta se disparó, y no sólo entre delincuentes, sino también y sobre todo entre los usuarios concienciados por la privacidad. Tanto, que supuso un auténtico quebradero de cabeza para la Agencia Nacional de Seguridad de Estados Unidos, la NSA, según los papeles revelados por Edward Snowden: no sabían cómo romper el sistema de encriptación.
La historia de este sistema informático tan popular dio un giro en 2012. Ese año Le Roux fue arrestado en Liberia por la Agencia Antidroga de Estados Unidos, la DEA. Y empezó a colaborar con el Gobierno americano.
En 2014, y en un hecho sin relación aparente, los desarrolladores anónimos de TrueCrypt colgaron un sorprendente anuncio en su página web: dejaban de desarrollarlo y mantenerlo. "Atención: Usar TrueCrypt no es seguro porque contiene lagunas de seguridad que no se han solucionado. Mantenemos esta página sólo para que, aquellos que tengan datos encriptados por el Sistema, puedan migrarlos". Recomendaban utilizar los sistemas Windows (bit locker), conocida por colaborar con la NSA. ¿Por qué lo hicieron?
Desde entonces las teorías entre los internautas no han dejado de prosperar. Podría ser que Le Roux o sus desarrolladores se rindieran ante el Gobierno de Estados Unidos. Que él ayudara a Washington a poner "puertas traseras" [lugares en el código que permiten acceder a los programas informáticos para crackearlos]. Que los desarrolladores independientes vieran que el software de base, el E4M, no era seguro con Le Roux bajo custodia. Que, simplemente, se percataran de que su herramienta era usada por criminales. Que el Estado les presionara para abandonar…
"Existe una eterna lucha entre la comunidad científica, que conoce sistema potentes de encriptación, y los poderes públicos, que desincentivan a los desarrolladores porque, si se utilizan de forma generalizada y efectiva, ellos van a tener más complicado entrar", asegura a Dirigentes Miguel Pérez Subías, presidente de la Asociación de Usuarios de Internet. "Nosotros hemos intentado que se incluyera en el correo electrónico cifrado estándar con tecnología que ya existe, pero ha sido imposible porque, a cada paso que dábamos, aparecía un informe criticándolo o presiones a los desarrolladores".
La demanda para proteger los datos y las comunicaciones es enorme. Llevamos en el bolsillo un dispositivo con una enorme cantidad de información personal. Por eso, las grandes empresas de informática se han puesto a lanzar sistemas propios. Con un problema: ellos son los dueños del sistema de encriptación, y pueden hacer lo que quieran con él. "Al final unos sistemas se estandarizan sólo cuando alguna empresa estadounidense los adopta, por eso todo el mundo sospecha que en el software estadounidense hay puertas de entrada, llaves para que acceda el Gobierno", concluye Pérez Subías.
TrueCrypt, en todo caso, no está muerto. En el mes de abril, los miembros del proyecto Open Crypto Audit presentaron la auditoría de seguridad sobre el sistema. "TrueCrypt parece ser un software criptográfico relativamente bien diseñado. No encontramos ninguna evidencia de ‘puertas traseras’ deliveradas, o ningún fallo de seguridad severo que podría hacer el software inseguro en la mayor parte de las circunstancias", según Matthew Green, miembro del proyecto. Además, en la estela de TrueCrypt han aparecido otras soluciones "libres": AES Crypt, un software libre que usa el estándar Advanced Encryption Standard. is a file encryption software available on several operating systems that uses the industry standard Advanced Encryption Standard (AES) to easily and securely encrypt files. Pero, de momento, no alcanzan ni de lejos, la popularidad del primero.
