BitLocker, la tecnología de cifrado integrada en Windows, ha recibido algunos golpes últimamente. Un exploit reciente demostró la eliminación del chip TPM de una computadora para extraer sus claves de cifrado, y muchos discos duros están rompiendo BitLocker. Aquí hay una guía para evitar las trampas de BitLocker.
Tenga en cuenta que todos estos ataques requieren acceso físico a su computadora. Ese es el objetivo de la encriptación: evitar que un ladrón que robó su computadora portátil o que alguien obtenga acceso a su computadora de escritorio vea sus archivos sin su permiso.
Tabla de contenido
BitLocker estándar no está disponible en Windows Home
Si bien casi todos los sistemas operativos de consumo modernos se envían con cifrado de forma predeterminada, Windows 10 aún no proporciona cifrado en todas las PC. Macs, Chromebooks, iPads, iPhones e incluso las distribuciones de Linux ofrecen cifrado a todos sus usuarios. Pero Microsoft todavía no incluye BitLocker con Windows 10 Home.
Algunas PC pueden venir con una tecnología de cifrado similar, que Microsoft originalmente llamó «cifrado de dispositivo» y ahora a veces llama «cifrado de dispositivo BitLocker». Cubriremos eso en la siguiente sección. Sin embargo, esta tecnología de cifrado de dispositivos es más limitada que BitLocker completo.
Cómo un atacante puede aprovechar esto: ¡No hay necesidad de exploits! Si su PC con Windows Home simplemente no está cifrada, un atacante puede quitar el disco duro o iniciar otro sistema operativo en su PC para acceder a sus archivos.
La solución: Pague 99 dólares por una actualización a Windows 10 Professional y habilite BitLocker. También podría considerar probar otra solución de cifrado como VeraCrypt, el sucesor de TrueCrypt, que es gratis.
BitLocker a veces carga su clave a Microsoft
Muchas PC modernas con Windows 10 vienen con un tipo de cifrado denominado «cifrado de dispositivo». Si su PC admite esto, se cifrará automáticamente después de iniciar sesión en su PC con su cuenta de Microsoft (o una cuenta de dominio en una red corporativa). Luego, la clave de recuperación se carga automáticamente en los servidores de Microsoft (o en los servidores de su organización en un dominio).
Esto lo protege de perder sus archivos; incluso si olvida la contraseña de su cuenta de Microsoft y no puede iniciar sesión, puede usar el proceso de recuperación de la cuenta y recuperar el acceso a su clave de cifrado.
Cómo un atacante puede aprovechar esto: esto es mejor que ningún cifrado. Sin embargo, esto significa que Microsoft podría verse obligado a revelar su clave de cifrado al gobierno con una orden judicial. O, peor aún, un atacante podría, en teoría, abusar del proceso de recuperación de una cuenta de Microsoft para obtener acceso a su cuenta y acceder a su clave de cifrado. Si el atacante tenía acceso físico a su PC o su disco duro, podría usar esa clave de recuperación para descifrar sus archivos, sin necesidad de su contraseña.
La solución: Pague $ 99 por una actualización a Windows 10 Professional, habilite BitLocker a través del Panel de control y elija no cargar una clave de recuperación en los servidores de Microsoft cuando se le solicite.
Muchas unidades de estado sólido rompen el cifrado de BitLocker
Algunas unidades de estado sólido anuncian compatibilidad con «cifrado de hardware». Si está utilizando una unidad de este tipo en su sistema y habilita BitLocker, Windows confiará en su unidad para hacer el trabajo y no realizará sus técnicas de cifrado habituales. Después de todo, si la unidad puede hacer el trabajo en hardware, debería ser más rápido.
Solo hay un problema: los investigadores han descubierto que muchos SSD no implementan esto correctamente. Por ejemplo, el Crucial MX300 protege su clave de cifrado con una contraseña vacía de forma predeterminada. Windows puede decir que BitLocker está habilitado, pero es posible que en realidad no esté haciendo mucho en segundo plano. Eso da miedo: BitLocker no debería confiar silenciosamente en las SSD para hacer el trabajo. Esta es una característica más nueva, por lo que este problema solo afecta a Windows 10 y no a Windows 7.
Cómo un atacante podría aprovechar esto: Windows puede decir que BitLocker está habilitado, pero BitLocker puede estar inactivo y dejar que su SSD falle al encriptar de forma segura sus datos. Un atacante podría potencialmente pasar por alto el cifrado mal implementado en su unidad de estado sólido para acceder a sus archivos.
La solución: cambie la opción «Configurar el uso de cifrado basado en hardware para unidades de datos fijas» en la política de grupo de Windows a «Deshabilitado». Después, debe desencriptar y volver a encriptar la unidad para que este cambio surta efecto. BitLocker dejará de confiar en las unidades y hará todo el trabajo en software en lugar de hardware.
Los chips TPM se pueden quitar
Un investigador de seguridad demostró recientemente otro ataque. BitLocker almacena su clave de cifrado en el Módulo de plataforma segura (TPM) de su computadora, que es una pieza especial de hardware que se supone que es resistente a manipulaciones. Desafortunadamente, un atacante podría usar una placa FPGA de $ 27 y un código de fuente abierta para extraerlo del TPM. Esto destruiría el hardware, pero permitiría extraer la clave y omitir el cifrado.
Cómo un atacante puede aprovechar esto: si un atacante tiene su PC, teóricamente puede eludir todas esas elegantes protecciones TPM manipulando el hardware y extrayendo la clave, lo que se supone que no es posible.
La solución: configure BitLocker para que requiera un PIN previo al inicio en la política de grupo. La opción «Requerir PIN de inicio con TPM» obligará a Windows a usar un PIN para desbloquear el TPM al inicio. Tendrá que escribir un PIN cuando su PC se inicie antes de que se inicie Windows. Sin embargo, esto bloqueará el TPM con protección adicional y un atacante no podrá extraer la clave del TPM sin conocer su PIN. El TPM protege contra ataques de fuerza bruta, por lo que los atacantes no solo podrán adivinar cada PIN uno por uno.
Las PC durmientes son más vulnerables
Microsoft recomienda deshabilitar el modo de suspensión al usar BitLocker para obtener la máxima seguridad. El modo de hibernación está bien: puede hacer que BitLocker solicite un PIN cuando despierte su PC de la hibernación o cuando la inicie normalmente. Pero, en el modo de suspensión, la PC permanece encendida con su clave de cifrado almacenada en la RAM.
Cómo un atacante puede aprovechar esto: si un atacante tiene su PC, puede activarla e iniciar sesión. En Windows 10, es posible que tenga que ingresar un PIN numérico. Con acceso físico a su PC, un atacante también puede usar el acceso directo a la memoria (DMA) para capturar el contenido de la RAM de su sistema y obtener la clave BitLocker. Un atacante también podría ejecutar un ataque de arranque en frío: reiniciar la PC en ejecución y tomar las claves de la RAM antes de que desaparezcan. Esto incluso puede implicar el uso de un congelador para bajar la temperatura y ralentizar ese proceso.
La solución: hiberne o apague su PC en lugar de dejarla dormida. Use un PIN previo al inicio para hacer que el proceso de inicio sea más seguro y bloquear los ataques de inicio en frío; BitLocker también requerirá un PIN cuando salga de la hibernación si está configurado para requerir un PIN en el inicio. Windows también te permite «deshabilitar nuevos dispositivos DMA cuando esta computadora está bloqueada”A través de una configuración de política de grupo, también, que proporciona cierta protección incluso si un atacante obtiene su PC mientras está funcionando.
Si desea leer más sobre el tema, Microsoft tiene documentación detallada para asegurando Bitlocker en su sitio web.