Acerca de TrueCrypt
Hace tiempo, me llevé una gran decepción cuando PGP (siglas de Pretty Good Privacy) dejó de ser freeware y pasó a convertirse en un producto de pago. PGP era un producto simple y efectivo para firmar y encriptar tu correo electrónico usando el modelo PKI y, además, era el estándar de facto para esas operaciones, con lo que su base de usuarios era amplísima (no tanto en España). Sin embargo, aunque la aplicación primordial de PGP era la securización del correo electrónico, tenía otros usos igualmente interesantes, como la encriptación de datos en tu disco duro. Por diversas cuestiones que no vienen al caso, el proyecto dejó de ser abierto y gratuito y se convirtió en un producto comercial, lo que tuvo dos efectos inmediatos: dejó de ser económico y, además, su base de usuarios descendió drásticamente.
Llevaba yo bastante tiempo intentando encontrar una solución de encriptación comparable a PGP tanto en términos de fiabilidad como de facilidad de uso. Hace como un año, mi búsqueda terminó gracias a una nota de Kriptópolis que me hizo llegar hasta TrueCrypt. Se trata de un software para la creación de volúmenes encriptados, abierto y gratuito -pero no libre-, que se instala en un abrir y cerrar de ojos y que cuenta con suficiente tiempo en el mercado y suficientes revisiones por parte de terceros como para poder confiar en él (al menos, tanto como se puede confiar en cualquier producto de seguridad cuando tú mismo no eres una eminencia en ese campo). TrueCrypt incorpora los algoritmos de encriptación AES, Serpent y TwoFish y puede usar varios de ellos de forma sucesiva para sus operaciones de encriptación (sacrificando, obviamente, la velocidad de computación), con lo que, en teoría, se puede llegar a conseguir un nivel de seguridad mucho más que aceptable. Si a eso le sumamos un manual de uso hecho con la seguridad en la cabeza, que ofrece detalles concretos sobre cómo funciona el software y no simple jerga de marketing y que da multitud de pistas sobre cómo usar el programa de forma realmente segura, parece que podemos acercarnos a este software con tranquilidad.
TrueCrypt permite crear volúmenes encriptados basados en archivo (que luego se pueden copiar, enviar, etc.) o encriptar una partición entera de nuestro disco duro. En cualquier caso, accederemos a nuestra información como si se tratase de una unidad más de nuestro ordenador. Además, todo eso es aplicable a CDs y DVDs y, lo que a mí más me importa, llaves USB. Incluso tiene una función muy útil para crear un “disco viajero” que te permite llevar en una llave USB el propio programa y que se ejecute automáticamente al introducirlo en un ordenador en que TrueCrypt no esté instalado, con lo que se acabó el problema de tener datos encriptados y no poder acceder a ellos fácilmente cuando estás lejos de tu máquina o no poder compartirlos con sencillez con otras personas. TrueCrypt permite elegir entre usar una contraseña para cifrar la información o complementarla con uno o varios archivos (keyfile) a modo de contraseñas adicionales, teóricamente más seguras y que no hay que memorizar. Esto permite, por ejemplo, encriptar una cierta información e impedir que se acceda a ella si no participan varias personas al mismo tiempo, cada una de ellas con el archivo que hace de llave personal, lo que abre interesantísimas posibilidades para la protección de información corporativa ultrasensible. Finalmente, TrueCrypt cuenta con otra interesante característica: la posibilidad de crear un volumen encriptado oculto dentro de otro volumen, de forma que podamos negar la existencia de esa información, puesto que a ojos de un tercero no hay forma de distinguir el volumen oculto del volumen que lo contiene. Recordemos que uno de los objetivos principales de los creadores de TrueCrypt es proporcionar fórmulas para la “negación plausible”, es decir, maneras de evitar el tener que desvelar nuestra información cifrada a un tercero (“adversario”, en la jerga del asunto) que nos obligue a darle acceso a nuestros equipos informáticos.
Cuando hablo de estos temas, muchos me preguntan el porqué de mi interés por usar herramientas de encriptación. No soy ningún terrorista ni el contable de ningún mafioso pero es que no sólo la mafia y los terroristas deberían preocuparse por la seguridad de su información. Cuando mandas una carta por correo, ¿la envías sin sobre o con el sobre abierto? Pues eso. Comencé a usar PGP en un momento en el que era importante para mí certificar ante los demás que los mensajes de correo electrónico que enviaba eran legítimos, sobre todo por la cantidad de virus que había por ahí haciéndose pasar por usuarios de carne y hueso. Huelga decir que, a mi alrededor, todo el mundo se quejaba del problema pero casi nadie estaba dispuesto a hacer el esfuerzo necesario para ponerle solución (de la desidia de los usuarios ante la seguridad informática hablaré otro día). Ahora, esa necesidad parece algo menos acuciante y, sin embargo, tengo otra necesidad que ha cobrado una importancia capital para mí: asegurarme de que los archivos que guardo en mi portátil, en CDs y DVDs y en la multitud de llaves USB de que dispongo no podrán ser vistos por terceros en caso de que se me pierdan o me los roben. Si un directivo de una gran empresa se plantease en alguna ocasión la cantidad de información altamente sensible que el personal de su organización porta en llaves USB y en CDs por todo el planeta, sin tomar ni la mínima precaución, la única medida sensata que podría tomar es prohibir el uso de esos dispositivos… u obligar a usar un software como TrueCrypt (o, si prefiere pagar, la versión comercial de PGP). Pues, yo, a menor escala, uso TrueCrypt para asegurarme de que, si pierdo una llave USB o un DVD, nadie pueda usar la información que contiene.
Espero que, uno de estos días, surja una solución de encriptación y firma para el correo electrónico equiparable al PGP de hace años (gratuita, probada y muy extendida) pero, mientras tanto, me conformaré con estar seguro de que si me olvido un pendrive USB en la oficina de un cliente, no podrá jugar con mis hojas de Excel.
9 comentarios
Tú mejor que nadie como linguista que eres (por lo menos de carrera) debería saber que no existe el término encriptar. En un extremo (no admitido por el RAE) podría ser el acto de meter en una cripta pero entiendo que en realidad te refieres a cifrar y descifrar ¿no?
Como lingüista que soy, al menos de carrera, sé que las palabras las crean los hablantes, no el RAE, que en su Diccionario se limita a recoger lo que los hablantes usan, no a decir qué está bien y qué está mal. Además, en este caso no se trata de una palabra ajena a nuestro idioma, puesto que tiene parientes muy cercanos en castellano (v. g. – críptico) y su origen griego la hace tan nuestra como las derivadas de cifra, que proviene del árabe.
Puedo estar de acuerdo, no obstante, en que es un anglicismo prescindible… pero me puede la costumbre
Yo soy usuario de truecrypt y es fantástico, incluso en línea de comando en linux es fácil de usar. Por lo que dices de PGP, no te preocupes,l existe para el correo electrónico el software GPG totalmente equivalente al que tu citas, con la ventaja de ser libre, abierto y muy probado. Está en el repositorio de todas las distros linux, y supongo que en windows lo habrá compilado alquien. Después hay montones de software de correo y tal que lo usan… GPG no viene con interfaz gráfica, pero existen muchas (en serio). Feliz búsqueda.
Gracias por tu comentario, César.
Sí, se compila también para Win32. He tenido GnuPG instalado durante mucho tiempo y he trasteado con él pero, en términos prácticos, sólo me ha valido para eso, para trastear. Recordemos que el problema no es sólo la interfaz (aunque la integración con tu programa de correo sí es muy importante, si no esencial), sino otros factores como la posibilidad de encriptar discos y, SOBRE TODO, la cantidad de usuarios. De poco o nada sirve usar el modelo PKI si pocos (o nadie) a tu alrededor lo usa también. En los buenos tiempos de PGP, hasta podías hacer amigos gracias a los servidores de claves (¿un antepasado geek del Facebook?).
Un saludo,
Manuel Delgado
Hablando de lo que está bien y no está bien dicho, existe el verbo securizar? Según la RAE, no.
Supongo que como en el caso de la palabra “encriptar”, securizar es un anglicismo, sin embargo no se me ocurre ninguna palabra de nuestra lengua que podamos utilizar :S
Hola Mario:
Preguntas si existe el verbo “securizar”. Claro que existe: desde el momento en que alguien lo usó por primera vez. Otra cuestión es si está recogido en el DRAE, por una parte, o si su uso es adecuado, necesario, vulgar, etc.
Veo alguna diferencia entre el caso de “encriptar-cifrar” y “securizar”. En el primero, ambas palabras son completamente intercambiables, la raíz de “encriptar” tiene arraigo en castellano y, además, la forma en que se ha generado la palabra castellana es impecable. Con “securizar”, del inglés “to secure”, coincido contigo en que no hay una palabra que sea 100% adecuada en español, pues opciones como “asegurar”, “fortificar”, “fortalecer” o “proteger” carecen de importantes matices que sí están presentes en el original inglés. Así, “securizar” vendría a ocupar ese hueco. Sin embargo, desde una perspectiva morfológica, “securizar” es más que mejorable para convertirse en una palabra en español. Sin ser experto en morfología, veo más adecuada la forma “segurizar”, pero no creo que cuaje.
Aqui teneis un tutorial para hacerlo funcionar como “portable” (a ver los linguistas si me dicen algo por usar esta palabra) en una memoria USB.
http://tinyurl.com/338ogl
Carry it Easy, que me venía con mi pendrive, oculta una partición, con lo cual es difícil de borrarlo, y en caso de borrar el programa accidentalmente, siempre puedes haberlo guardado en algún otro sitio
En lo que a funcionalidad se refiere, Carry it Easy parece ser muy completo. Sin embargo, al tratar con productos de seguridad no deberíamos fiarnos tanto de la funcionalidad y de las interfaces de usuario amigables y sí de una propuesta clara y completa de seguridad (¿qué tal andan de plausible deniability las particiones ocultas de Carry it Easy, por ejemplo?), así como de una absoluta transparencia con respecto al código fuente. Por eso prefiero productos como Truecrypt, del que ya hay una nueva versión, por cierto.