Microsoft cancela la cuenta de VeraCrypt y detiene las actualizaciones de Windows

 (404media.co)
2 puntos por GN⁺ 21 일 전 | 5 comentarios | Compartir por WhatsApp
  • La distribución de actualizaciones de Windows para el software de cifrado de código abierto VeraCrypt quedó completamente bloqueada por la repentina cancelación de su cuenta por parte de Microsoft, un caso que expone la fragilidad de la cadena de suministro del software de código abierto que depende de grandes empresas tecnológicas
  • Mounir Idrassi, desarrollador de VeraCrypt, descubrió a mediados de enero que su cuenta para firmar controladores y cargadores de arranque de Windows había sido cancelada sin previo aviso, y desde entonces solo recibió respuestas automáticas que parecían generadas por IA al intentar contactarlos
  • El único mensaje oficial que envió Microsoft fue una notificación de "incumplimiento de requisitos", pero la cuenta fue cerrada sin dar una razón concreta ni un proceso de apelación, y sin explicar en absoluto qué requisito dejó de cumplirse de repente
  • Jason Donenfeld, desarrollador de WireGuard, también afirmó haber enfrentado el mismo problema, lo que demuestra que no se trata de un caso limitado a VeraCrypt
  • Las actualizaciones de Linux y macOS pueden seguir publicándose, pero dado que la mayoría de los usuarios usa la plataforma Windows, la imposibilidad de distribuir en Windows representa un golpe crítico para todo el proyecto

Qué es VeraCrypt

  • Herramienta de código abierto para proteger archivos mediante la creación de particiones cifradas dentro de una unidad o en forma de volúmenes cifrados individuales
  • Está basada en su predecesor, TrueCrypt, y también ofrece la función de volumen doble (volumen oculto) para situaciones en las que alguien sea obligado a entregar sus credenciales

Cómo ocurrieron los hechos

  • Idrassi explicó personalmente en el foro de SourceForge por qué había estado inactivo durante varios meses
  • A mediados de enero descubrió que la cuenta para firmar controladores y cargadores de arranque de Windows que había usado durante años de repente ya no estaba disponible
  • No hubo ningún correo previo ni advertencia, y el único mensaje recibido de Microsoft decía únicamente que ya no cumplía con los requisitos actuales
  • Ese mensaje solo incluía la notificación de que no era posible apelar y que la solicitud estaba cerrada
  • No se dio ninguna explicación sobre qué requisito dejó de cumplir de repente la empresa de Idrassi, IDRIX

Reacción y preocupación del desarrollador

  • Intentó contactar al equipo de soporte de Microsoft, pero solo recibió respuestas automáticas que parecían generadas por IA
  • Criticó duramente la falta de comunicación de Microsoft, señalando que "como mínimo debieron explicar cuál era el problema"
  • También indicó que "cuando se toman decisiones como esta sin comunicación, aumenta la incertidumbre sobre el futuro, y las respuestas automatizadas por IA vuelven este proceso deshumanizado"

WireGuard en la misma situación

  • Jason Donenfeld, desarrollador del popular cliente VPN WireGuard, también publicó en Hacker News que enfrentó el mismo problema
  • Mencionó que "sin advertencia, sin aviso, un día inicié sesión para distribuir una actualización y encontré la cuenta suspendida"

Efectos e impacto

  • Windows es la plataforma que usa la mayoría de los usuarios de VeraCrypt, por lo que la imposibilidad de distribuir actualizaciones en Windows supone un golpe crítico para el proyecto
  • Las actualizaciones para Linux y macOS siguen siendo posibles, pero el soporte para la plataforma principal está bloqueado
  • Este incidente pone de relieve el riesgo en la cadena de suministro que puede surgir cuando el software de código abierto depende, aunque sea parcialmente, de la infraestructura de grandes empresas tecnológicas
  • Microsoft no respondió a la solicitud de comentarios

Lecturas relacionadas

5 comentarios

 
ndrgrd 20 일 전

Cada vez que veo algo así, pienso lo mismo: verificar las firmas no debería hacerlo la plataforma, sino el usuario. El desarrollador debe firmar con su propia clave, y el usuario debe permitir en su dispositivo las claves de desarrolladores confiables para poder usarlas.

No saber esto y pedir que el sistema lo resuelva por uno no tiene sentido. Más allá de si a alguien le interesa o no la informática, si va a usarlo, es un hábito que necesariamente debe tener.
Si usas un teléfono móvil y navegas por internet, no deberías creer ciegamente en lo que diga una página web, un mensaje o una llamada; debes tener la capacidad básica de discernir y elegir.

Con una UI como la de UAC de Windows, donde se puede confirmar con un solo botón si se confiará en un desarrollador específico, incluso alguien que no conozca los conceptos de firma de código y claves podría usarlo.
 
heal9179 17 일 전

Porque si no es una certificación oficial, se podría abusar de una certificación maliciosa..
 
ndrgrd 16 일 전

No entiendo a qué se refiere.
¿Está diciendo que un tercero podría falsificar la autenticación? Eso también ocurre exactamente igual con el sistema actual de certificados. Incluso el malware sale con certificados que cuestan cientos de miles de wones al año.
¿Se refiere a que el propio desarrollador podría hacer un mal uso? Entonces, desde el principio, ni el código ni el desarrollador en sí serían confiables. Elegir en qué confiar es un derecho y también una responsabilidad del usuario. Si seguimos esa lógica, como las personas con trastorno obsesivo, habría que escribir uno mismo y usar todos los programas, desde el sistema operativo hasta la app más básica.
 
picopress 20 일 전

Los drivers de Windows probablemente sean distintos.
 
GN⁺ 21 일 전
Comentarios en Hacker News

  • Hace un año usé Azure Trusted Signing para distribuir software FOSS para Windows
    En ese momento era la forma más barata de distribuir software libre
    Pero hace unos meses, al renovar el certificado, toda mi documentación fue rechazada por un problema de fallo de verificación, y a pesar de ser un usuario de pago, no pude comunicarme directamente con ninguna persona
    Al final obtuve un certificado a través de SignPath.org y desde entonces estoy muy satisfecho

    • Durante el último año, la política de verificación de Trusted Signing ha seguido cambiando
      Primero se abrió a individuos, luego cambió para permitir solo empresas de EE. UU. con número DUNS, y después volvió a abrirse a algunos individuos
      Probablemente hubo algún incidente en el que alguien abusó de un certificado de Trusted Signing
      Esta mañana, al ver el caso de VeraCrypt, pensé: “¿será que están empujando a los desarrolladores a la fuerza hacia Trusted Signing?”
    • Me gusta la idea de una autoridad central de firma para open source
      Puede ir un poco en contra del espíritu del open source, pero si Microsoft o Google hacen alguna jugada rara, la comunidad reaccionaría con fuerza
      Si existiera una entidad como FDroid que ofreciera builds auditables, sería posible una distribución más confiable frente a ataques a la cadena de suministro
      Claro, una entidad así tendría que contar con suficiente gobernanza y financiamiento

  • Creo que no se debe permitir que el dueño de una plataforma decida qué software puede ejecutarse
    La firma de software debería delegarse a un tercero independiente, sin conflictos de interés
    Esa es precisamente la razón por la que la Digital Markets Act busca proteger a los desarrolladores
    Me pregunto si todavía hay novedades sobre la investigación de la UE a Apple

    • En realidad sí es posible firmar binarios de Windows con un certificado de terceros
      Solo que cuesta caro, y ni siquiera hace falta usar herramientas de Microsoft

  • Este problema no es exclusivo de VeraCrypt
    Varios desarrolladores de drivers para Windows han sido expulsados a la fuerza de Partner Center sin ninguna explicación
    También se pueden ver casos relacionados en el foro comunitario de OSR

  • Windscribe es también el tercer caso de una cuenta cerrada por Microsoft
    Tuit relacionado

  • Se está viendo el lado oscuro de “Security as a Service”
    Microsoft simplificó el proceso de firma con Trusted Signing, pero al hacerlo creó un punto único de falla
    Que un proyecto FOSS clave como VeraCrypt quede bloqueado por un flag automático, sin ninguna vía de intervención humana, es una estructura frágil
    Secure Boot es una buena función de seguridad, pero no debería convertirse en una herramienta de dependencia del proveedor por incompetencia administrativa

  • En el post anterior, alguien comentó que se pasó por alto el título “Veracrypt project update”

  • Sigo esperando que algún día la gente se dé cuenta de que la firma de ejecutables y Secure Boot no son seguridad real, sino mecanismos para controlar qué puede ejecutar el usuario
    En una computadora personal, creo que la premisa de estas mitigaciones no tiene sentido

    • Secure Boot sí es necesario para la seguridad real de la cifrado completo de disco (FDE)
      Hace más difícil abusar de drivers maliciosos y reduce las infecciones de bootkits
      El propio usuario también puede registrar sus propias claves
      Es cierto que Microsoft lo usa como mecanismo de control, pero eso no significa que la función de seguridad en sí deba negarse
    • En entornos embebidos, Secure Boot se usa para proteger a los clientes
      Garantiza la prevención de manipulación del firmware en la cadena de suministro
    • Para uso doméstico o usuarios generales puede ser una herramienta de control, pero en sistemas embebidos o financieros es una tecnología casi vital
    • Apple normalizó esta cultura de bootloaders cerrados al introducir iOS
      Hace 20 años este tipo de sistemas parecían distópicos, pero ahora se dan por sentados
      Es como si la “tivoization” de la que advirtió Stallman se hubiera vuelto realidad
    • Me hace recordar la época en la que alguien instalaba un montón de barras de herramientas de Ask Jeeves y luego le pedía a su nieto que arreglara la computadora

  • Es irónico que la empresa que controla la cadena de Secure Boot haya bloqueado la cuenta de firma de una herramienta de cifrado de disco

    • Es un patrón que se repite en todas las plataformas
      Como dice la frase, “la plataforma da y la plataforma quita”; si la distribución depende de la buena voluntad de una sola empresa, entonces no es una distribución real

  • Microsoft debería haber sabido que la cuenta de desarrollador de WireGuard también fue cerrada

    • De hecho, eso se menciona al final del artículo
      Aparece la frase: “el popular cliente VPN WireGuard también está pasando por el mismo problema”

  • No entiendo por qué no simplemente generan su propia clave de firma y la incluyen en el instalador
    Usar una plataforma intermediaria así parece dispararse en el pie

    • Pero una persona maliciosa también puede crear y distribuir su propia clave
      El caso de Notepad++ muestra qué tipo de resultado trae eso