Full Disk Encryption es excelente para evitar el acceso si el dispositivo es robado. Revisemos BitLocker nativo de Windows y sus alternativas.
¿Sabe lo que da miedo de la computadora portátil robada de Coplin Health Systems, con sede en West Virginia, que contiene datos de 43,000 pacientes?
¿O qué tiene de malo que un contratista en Japón pierda una unidad USB con la información personal de 460 000 residentes?
Los datos no estaban encriptados.
Por lo tanto, un mal actor podría acceder y vender fácilmente datos personales en la web oscura.
Aprendieron la lección de la manera más difícil. Pero ese no debería ser el caso sabiendo lo fácil que es cifrar los datos.
Las siguientes secciones analizan el cifrado de disco, cómo hacerlo con BitLocker y algunas alternativas de BitLocker.
Tabla de contenido
Cifrado de disco completo
Full Disk Encryption (FDE) se refiere a bloquear las unidades en su sistema. Impide el acceso a los datos en dispositivos comprometidos y puede permitir una verificación en el momento del arranque para obtener seguridad adicional si se aplica en las unidades del sistema.
BitLocker
Las versiones profesional, empresarial y educativa de Windows vienen precargadas con cifrado de dispositivo BitLocker.
Usando BitLocker, uno puede proteger con contraseña las unidades, que funcionan normalmente una vez que está dentro. También hay una clave de recuperación para restablecer la contraseña, sin la cual el contenido del disco será ilegible.
Además, esto funciona multiplataforma. Por ejemplo, una unidad cifrada en Windows permanecerá segura en Linux.
En particular, esto no lo protegerá una vez que el sistema esté desbloqueado. Estos mecanismos de encriptación serán infructuosos para, por ejemplo, el spyware que roba su información personal, que usted podría haber instalado sin saberlo. Ergo, no reemplazan a las herramientas antivirus o antispyware.
Para comenzar, escriba BitLocker en la búsqueda de la barra de tareas y abra Administrar BitLocker.
Ahora elija el disco de asunto y haga clic en Activar BitLocker.
El proceso posterior es diferente para la unidad del sistema operativo y las particiones que no son del sistema, incluidos los discos portátiles.
BitLocker en unidades del sistema
Esto, de forma predeterminada, utiliza el chip de seguridad TPM (versión 1.2 o posterior) para la autenticación. Y la máquina se inicia una vez que el TPM devuelve la clave.
Un módulo de plataforma segura (TPM) es un chip con el que se envían las PC modernas. Este es un chip separado que garantiza la integridad general del dispositivo. Pero es posible que deba activar esto si su sistema no detecta TPM incluso después de tener uno.
En tales casos, no hay autenticación previa al inicio y cualquier persona que tenga su PC puede encenderla por fuerza bruta a través de la contraseña de inicio de sesión de Windows.
Sin embargo, se puede activar el PIN previo al inicio desde el editor de políticas de grupo local para disfrutar de la máxima seguridad. Luego, el chip TPM solicitará la clave de recuperación y el pin antes de permitir que la máquina arranque.
El diferenciador aquí es que estos chips vienen con protecciones de fuerza bruta. Entonces, el atacante tendrá solo un puñado de intentos antes de rendirse.
Solo recuerde configurar esto antes de iniciar el cifrado.
El proceso es bastante simple. Primero, abra Windows Run presionando ⊞+R, escriba gpedit.msc y presione enter.
Luego navegue a Configuración de la computadora > Plantillas administrativas > Componentes de Windows > Cifrado de dispositivo BitLocker > Unidades del sistema operativo:
Ahora, el cifrado de BitLocker necesitará un PIN o una unidad USB preestablecida como autenticación física antes de iniciar.
A continuación, avanza a Cifrar toda la unidad o solo el espacio en disco utilizado.
Cifrar todo es generalmente la mejor idea para las computadoras más antiguas, ya que es posible que tenga datos que se puedan recuperar de los sectores vacíos utilizando las herramientas de recuperación de datos de Windows.
Posteriormente, usted decide entre usar Nuevo cifrado o un modo compatible. Puede elegir el modo de cifrado Nuevo ya que se trata de una unidad del sistema operativo. El modo compatible sería más adecuado para unidades portátiles.
Finalmente, se recomienda ejecutar la verificación del sistema BitLocker en la siguiente ventana para ver si todo funciona perfectamente.
BitLocker en unidades de datos fijas
Cifrar estas particiones y unidades es más sencillo. Esto le pedirá que establezca una contraseña por adelantado.
Una vez que supera esto, el proceso es similar al cifrado de las unidades del sistema operativo, salvo las comprobaciones del sistema BitLocker.
Si bien BitLocker es útil, no está disponible para las personas que usan variantes de Windows Home. La segunda mejor opción gratuita es Windows Device Encryption, si su dispositivo lo admite.
Esto es diferente de BitLocker en que impone requisitos de TPM. Además, no hay ningún medio de autenticación previa al arranque.
Puede comprobar la disponibilidad con Información del sistema. Abra Windows Run, escriba msinfo32 y presione enter. Desplácese hacia abajo y valide si los requisitos previos de Meet se mencionan en Compatibilidad con el cifrado de dispositivos.
Si no es así, lo más probable es que su dispositivo no sea compatible con Device Encryption. Sin embargo, puede ponerse en contacto con el soporte del fabricante para ver una posible resolución.
Alternativamente, existen algunas herramientas de cifrado de disco completo, gratuitas y de pago, que puede utilizar.
VeraCrypt
VeraCrypt es un software gratuito de encriptación de código abierto para Windows, Mac y Linux. De forma similar a BitLocker, puede cifrar unidades del sistema, unidades de datos fijas y unidades portátiles.
Esto es más flexible y ofrece muchas opciones para los algoritmos de cifrado. Además, también puede cifrar sobre la marcha. Entonces, cree un contenedor encriptado y transfiera sus archivos para encriptarlos.
Además, VeraCrypt puede crear volúmenes ocultos cifrados y admite la autenticación previa al arranque como BitLocker.
Sin embargo, la interfaz de usuario puede ser abrumadora, pero nada que un tutorial de YouTube no pueda solucionar.
Mejor Cripta
Puede llamar a BestCrypt una versión paga y fácil de usar de Veracrypt.
Esto le da acceso a varios algoritmos y una gran cantidad de opciones para lograr el cifrado de disco completo. Admite la creación de contenedores de cifrado y unidades del sistema.
Además, puede implementar un arranque aprobado por contraseña.
BestCrypt es una herramienta de cifrado multiplataforma y viene con una prueba gratuita de 21 días.
Alternativas comerciales de BitLocker
Estos consisten en soluciones listas para la empresa basadas en licencias por volumen.
ESET
El cifrado de disco completo de ESET es excelente para la administración remota. Le brinda flexibilidad con soluciones de cifrado locales y en la nube.
Esto incluye la protección de discos duros, unidades portátiles, correos electrónicos, etc., con el cifrado AES de 256 bits estándar de la industria.
Además, esto le permite cifrar archivos individuales mediante el cifrado de nivel de archivo (FLE).
Puede verificar esto con la demostración interactiva o una prueba gratuita de 30 días para una práctica completa.
Symantec
Symantec, de Broadcom, es otro jugador líder en el suministro de instalaciones de cifrado de nivel empresarial. Este cifrado de disco completo es compatible con TPM, lo que garantiza el estado libre de manipulaciones de los dispositivos institucionales.
Además, obtiene comprobaciones previas al arranque, correo electrónico y cifrado de disco extraíble.
Symantec lo ayuda a configurar el inicio de sesión único y también puede proteger las aplicaciones basadas en la nube. Esto admite tarjetas inteligentes y tiene varios métodos de recuperación si el usuario olvida el código de acceso.
Además, Symantec viene con cifrado a nivel de archivos, un monitor de archivos confidenciales y varias otras características que lo convierten en una solución de cifrado de extremo a extremo irresistible.
ZENworks
ZENworks de Microfocus es la forma más sencilla de gestionar el cifrado AES-256 en cualquier organización.
Esto admite una autenticación previa al arranque opcional con nombre de usuario y contraseña o una tarjeta inteligente con un PIN. ZENworks cuenta con una gestión de claves centralizada para ayudar a los usuarios atascados en los inicios de sesión de arranque.
Puede crear políticas de cifrado para dispositivos y aplicarlas a través de una conexión web HTTP estándar.
Finalmente, puede aprovechar su prueba gratuita sin tarjeta de crédito para verlo de primera mano.
FDE frente a FLE
A veces no vale la pena cifrar un disco completo. En tales casos, es aconsejable proteger un archivo específico que genere el cifrado de nivel de archivo o el cifrado basado en archivos (FBE).
FLE es más común y, a menudo, lo usamos sin reconocer su presencia.
Por ejemplo, las conversaciones de WhatsApp están encriptadas de extremo a extremo. Del mismo modo, los correos electrónicos enviados a través del correo de Proton también se cifran automáticamente y solo el destinatario puede acceder a los contenidos.
De manera similar, se puede proteger un archivo con FLE con herramientas como AxCrypt o FolderLock.
Una clara ventaja de FBE sobre FDE es que todos los archivos pueden tener diferentes claves de cifrado. Ergo, si uno se ve comprometido, los demás permanecerán a salvo.
Sin embargo, esto trae consigo la molestia adicional de administrar dichas claves.
Conclusión
Full Disk Encryption es crucial cuando pierde un dispositivo que contiene información confidencial.
Si bien cada usuario tiene algunos datos cruciales a bordo, son las empresas las que necesitan el cifrado de disco más que nadie.
Personalmente, BitLocker es la mejor herramienta de cifrado para usuarios de Windows. VeraCrypt es otra opción para alguien que puede soportar una interfaz anticuada.
Y las organizaciones no deben confiar en el veredicto de alguien, sino hacer pruebas para elegir lo mejor para su caso de uso. Lo único que debe evitar el propietario de un negocio son los bloqueos de proveedores.
PD: Echa un vistazo a nuestro software de cifrado frente a autenticación para repasar los conceptos básicos.