La herramienta libre VeraCrypt de código abierto para el cifrado de disco, basado en TrueCrypt, ha sido auditado por expertos de la compañía de seguridad informática Quarkslab.

Los investigadores encontraron 8 vulnerabilidades críticas, 3 medias y 15 de gravedad baja, y algunos de ellos ya han sido tratados en la versión 1.19 del software, que fue lanzado en el mismo día que el informe de auditoría.

La auditoría analizó el código de VeraCrypt 1.18 y sus gestores de arranque.

"Un primer paso consistió en la verificación de los problemas y vulnerabilidades identificadas por iSec y NCC Group en TrueCrypt 7.1a para Open Crypto Aduit Project que se tuvieron en cuenta y que se arreglaron", explicaron los investigadores de Quarkslab que participan en la auditoría.

"Entonces, el estudio restante fue identificar potenciales problemas de seguridad en el código específico para VeraCrypt. Al contrario de otras herramientas de TrueCrypt, el objetivo de VeraCrypt no solo es para reparar las vulnerabilidades públicas de TrueCrypt, sino también para traer nuevas características de software."

Un breve resumen de los problemas encontrados (arreglados y todavía no arreglados) se puede encontrar aquí. El informe de auditoría, con atenuantes para las vulnerabilidades aún no actualizadas, se puede descargar desde aquí.

Los auditores han señalado que el proyecto VeraCrypt "evoluciona en una buena dirección y claramente tiene en cuenta las conclusiones de la evaluación."

Se han elogiado habilidades y conocimientos del principal desarrollador de VeraCrypt, Mounir Idrassi, así como su disposición a ayudar con el esfuerzo y tomar en cuenta sus resultados.

"Cuando la auditoría es bien recibida por los desarrolladores del proyecto, (evaluaciones de los proyectos de seguridad) se proporcionan evaluaciones útiles para ayudar a madurar al proyecto. La franqueza de los resultados de la evaluación ayuda a construir confianza en el producto para los usuarios finales", concluyeron.