VeraCrypt

VeraCrypt es la herramienta canónica de cifrado de disco completo y contenedores con volúmenes ocultos de negación plausible — el sucesor de TrueCrypt (que famosamente se autoterminó en 2014) y la implementación de referencia para usuarios que necesitan volúmenes cifrados que parecen datos aleatorios en el disco, con volúmenes ocultos opcionales que permiten a un usuario revelar una frase de contraseña bajo coacción manteniendo un segundo volumen invisible. Calificado como Grade A · selección del editor porque VeraCrypt ocupa una posición estructural única: la única herramienta de cifrado de nivel consumidor con primitivas creíbles de negación plausible, la continuación canónica post-TrueCrypt, y un historial de auditoría establecido a través de múltiples revisiones independientes.

Background. VeraCrypt fue bifurcado de TrueCrypt en 2013 por Mounir Idrassi de IDRIX (consultoría de seguridad francesa) y continúa siendo mantenido por IDRIX con contribuciones de la comunidad. TrueCrypt mismo, la base de código original, fue abandonado en mayo de 2014 con un aviso famosamente críptico de sus desarrolladores anónimos de que el software "ya no era seguro" — un aviso que la comunidad de seguridad interpretó en gran medida como un canario de orden judicial o una salida estratégica, no como una falla criptográfica real. VeraCrypt ha sido el sucesor de facto desde 2014, con auditorías de seguridad independientes que incluyen una auditoría de 2016 por Quarkslab financiada por OSTIF (Open Source Technology Improvement Fund) y una auditoría de seguimiento de 2018 también financiada por OSTIF. La auditoría de 2016 encontró 8 vulnerabilidades; todas fueron corregidas en versiones posteriores. Código abierto bajo la licencia Apache 2.0 (con porciones bajo la antigua licencia TrueCrypt 3.0 para el código heredado de TrueCrypt). Multiplataforma: macOS, Windows, Linux — paridad total de funciones entre plataformas.

What you trust. Criptografía fuerte — AES-256, Serpent, Twofish, Kuznyechik, Camellia (o cascadas de múltiples algoritmos en capas); SHA-256, SHA-512, Whirlpool, BLAKE2s, Streebog para derivación de claves. Derivación de claves PBKDF2 con iteraciones configurables (el valor predeterminado es conservador, ralentizando los ataques de fuerza bruta contra la frase de contraseña). Los volúmenes cifrados parecen datos aleatorios — los contenedores VeraCrypt no tienen bytes mágicos de encabezado, ni firma de archivo; para un atacante sin la frase de contraseña, el volumen es estadísticamente indistinguible de bytes aleatorios. Función de volumen oculto — dentro de un volumen externo cifrado, puedes crear un volumen interno oculto protegido por una frase de contraseña separada; la existencia del volumen oculto no es detectable mediante la inspección del texto plano del volumen externo. Cifrado del sistema — cifrado de disco completo de sistemas Windows, Linux y macOS, con autenticación previa al arranque. SO oculto — solo Windows: puedes tener un sistema operativo oculto que arranca desde el volumen oculto, proporcionando negación plausible de "dos computadoras" bajo coacción. Código abierto + múltiples auditorías independientes — las auditorías de Quarkslab + OSTIF proporcionan revisión externa; el código fuente es auditable. Lo que no confías: el análisis forense del dispositivo cifrado (el volumen sigue siendo detectable como datos-cifrados-de-algún-tipo por el tamaño del archivo y el contenido de alta entropía); la divulgación forzada (la negación plausible proporciona protección solo cuando un atacante no puede *probar* que existe un volumen oculto, no en jurisdicciones donde se te puede obligar a revelar todas las claves de cifrado independientemente).

Operational specs. Plataformas: macOS, Windows, Linux de escritorio. Modos de volumen: contenedor cifrado estándar (un archivo `.hc` o partición), cifrado de partición del sistema (cifrado de disco completo con autenticación previa al arranque), volumen oculto (dentro de un contenedor estándar), SO oculto (solo Windows). Cascadas de cifrado: puedes superponer múltiples algoritmos de cifrado (por ejemplo, AES-Serpent-Twofish) para defensa en profundidad contra el futuro criptoanálisis de cualquier cifrado único. Montaje: los volúmenes cifrados se montan como unidades virtuales — aparecen como una letra de unidad (Windows) o punto de montaje (Linux/macOS) y se comportan como sistemas de archivos regulares. Archivos de clave + frase de contraseña: puedes requerir una frase de contraseña, un archivo de clave, o ambos para el montaje; los archivos de clave pueden estar en una unidad USB que mantengas separada del volumen cifrado. Aceleración por hardware: aceleración por hardware AES-NI en CPUs compatibles (esencialmente todos los x86/x64 modernos). Asistente de creación de volúmenes: te guía a través de la elección de algoritmo, configuración de frase de contraseña, creación de volumen oculto y emparejamiento de archivo de clave. Modo portátil: instalación portátil de VeraCrypt en una unidad USB — volumen cifrado + binario de VeraCrypt viajan juntos; monta en cualquier computadora sin instalar VeraCrypt localmente.

Philosophy. El diferenciador editorial de VeraCrypt es el modelo de volumen oculto con negación plausible. Las alternativas modernas — LUKS (Linux), BitLocker (Windows), FileVault (macOS), age (a nivel de archivo), Cryptomator (a nivel de carpeta en la nube) — todas ofrecen cifrado fuerte pero ninguna ofrece volúmenes ocultos. Para la mayoría de los usuarios, los volúmenes ocultos son excesivos (el modelo de amenaza es "perder la laptop ante un ladrón", y FileVault/BitLocker son suficientes). Para usuarios cuyo modelo de amenaza incluye divulgación forzada (cruces de fronteras, actores estatales hostiles, "danos la contraseña o te detenemos"), los volúmenes ocultos son la mitigación canónica. El compromiso: complejidad (la configuración del volumen oculto requiere una UX cuidadosa para evitar sobrescribir accidentalmente el volumen oculto); riesgo legal (en algunas jurisdicciones, negarse a revelar las claves de descifrado es en sí mismo un delito penal, independientemente de si se puede probar que existe un volumen oculto); y fragilidad operativa (montar el volumen externo en lectura-escritura sin habilitar la protección del volumen oculto puede corromper el volumen oculto). VeraCrypt es la herramienta canónica para usuarios que necesitan esto; para los que no, BitLocker / FileVault / LUKS / age son más simples e igualmente fuertes contra modelos de amenaza sin coacción.

Grade rationale. Grade A y selección del editor reflejan: código abierto bajo licencia Apache 2.0; multiplataforma (macOS, Windows, Linux) con paridad total de funciones; múltiples auditorías de seguridad independientes (Quarkslab 2016 + 2018, financiadas por OSTIF) con todos los hallazgos remediados; criptografía fuerte (AES-256, Serpent, Twofish, Kuznyechik, Camellia, cascadas) con derivación de claves PBKDF2; características únicas de negación plausible de volumen oculto + SO oculto (ninguna herramienta alternativa las ofrece a nivel de consumidor); mantenido por operador nombrado (Mounir Idrassi / IDRIX) con identidad pública y más de 10 años de historial; compilaciones reproducibles documentadas; soporte de aceleración por hardware AES-NI; listado en el directorio de pares de Privacy Guides. Última verificación: 2026-05-12.

Useful when. Estás cruzando fronteras con datos sensibles y quieres negación plausible — la función de volumen oculto de VeraCrypt es la mitigación canónica para "muéstranos qué hay en tu laptop". Eres un periodista, activista o trabajador de derechos humanos en una jurisdicción donde la divulgación forzada es una amenaza creíble. Quieres cifrado de disco completo en Windows o Linux que no sea BitLocker (que ha tenido preocupaciones de custodia de claves) o LUKS (que no ofrece volúmenes ocultos). Quieres transportar datos cifrados en una unidad USB a través del modo portátil de VeraCrypt — volumen cifrado + binario de VeraCrypt viajan juntos, monta en cualquier lugar. Quieres cascadas de cifrado para defensa en profundidad contra el futuro criptoanálisis (superponer AES + Serpent + Twofish). Quieres un contenedor cifrado multiplataforma — un archivo `.hc` que funciona idénticamente en macOS, Windows, Linux. Estás manejando almacenamiento de archivo profundo de datos sensibles y quieres la herramienta de cifrado con el historial de auditoría más largo.

Caveats. La negación plausible no es protección legal en todas las jurisdicciones — en el Reino Unido (RIPA s.49), Francia (jurisprudencia reciente) y otros países, negarse a revelar las claves de descifrado puede ser en sí mismo un delito penal, independientemente de si se puede probar que existe un volumen oculto. Comprende tu marco legal local antes de confiar en los volúmenes ocultos como defensa contra la coacción. Fragilidad operativa del volumen oculto — montar el volumen externo en lectura-escritura *sin* la opción de protección del volumen oculto puede sobrescribir los sectores del volumen oculto. Siempre usa la opción "proteger volumen oculto" al montar el volumen externo en lectura-escritura, o monta solo lectura por defecto. El SO oculto es solo para Windows — Linux y macOS no tienen la función equivalente. La autenticación previa al arranque puede fallar en sistemas UEFI Secure Boot — VeraCrypt tiene soporte UEFI pero algunas configuraciones requieren deshabilitar Secure Boot. Prueba antes de confiar en ello. Sobrecarga de rendimiento — la aceleración por hardware AES-NI hace que el cifrado sea esencialmente gratuito en CPUs modernas, pero las cascadas de cifrado (AES-Serpent-Twofish) superponen tres pasadas de cifrado que son más lentas; elige AES único para rendimiento, cascadas para modelos de amenaza paranoicos. Requisito de clave de recuperación de respaldo — cuando cifras completamente el disco de tu partición del sistema, VeraCrypt te solicita generar un Disco de Rescate; si omites esto y olvidas tu frase de contraseña, los datos son irrecuperables. El montaje requiere VeraCrypt instalado — los contenedores cifrados no se pueden montar a través de herramientas estándar del sistema operativo; necesitas VeraCrypt en la máquina que los monta. Detección forense — los volúmenes VeraCrypt parecen datos aleatorios, pero la presencia de datos de alta entropía en una unidad sigue siendo detectable por herramientas forenses como "hay un volumen cifrado aquí, en algún lugar"; el *contenido* está protegido, la *existencia del cifrado* no. Los archivos de clave en la misma unidad que el volumen anulan el propósito — almacena los archivos de clave en una unidad USB separada o un dispositivo separado para obtener el beneficio de seguridad.