Cualquiera que maneje una computadora, especialmente si es un portátil, corre el riesgo de perderla o de que se la roben. Incluso un ordenador de sobremesa puede verse comprometido y hay bandas que roban en las empresas solo por los datos que pueden sacar de los PCs.

Por ello es importante proteger los datos de cualquier sistema portátil que manejemos, en especial si se trata de una computadora de la empresa. Ya no solo por la información que tengamos, sino porque si perdemos o nos roban un ordenador empresarial, el asaltante podría tener acceso a toda la red interna de la organización. Además, si almacenamos claves u otra información valiosa en la maquina (nunca debemos hacerlo sin cifrar esa información) es todavía peor.

Si tienes acceso físico a una maquina es bastante sencillo poder saltarse toda la seguridad y acceder usando cualquiera de las cuentas de usuario existentes, cambiándoles la contraseña. También es posible extraer el disco duro, pincharlo a otro equipo y utilizar herramientas de "cracking" de contraseñas para averiguar la clave de acceso de cualquier cuenta, incluso de las del dominio de la empresa. Este caso es especialmente peligroso ya que, una vez dentro del equipo, con las mismas credenciales podremos conectarnos a la red de la empresa a través de la VPN que todas las empresas suelen tener.

Algún día igual me decido a hacer un tutorial sobre cómo acceder a cualquier ordenador con Windows al que tengamos acceso físico ;-)

El caso es que por nuestra seguridad y la de la empresa deberíamos proteger nuestro equipo de la mejor manera posible para evitar accesos no deseados en caso de que alguien tenga acceso físico al mismo. Y eso implica hoy en día cifrar por completo las unidades de disco duro.

Para ello tenemos varias opciones, pero si podemos escoger, lo mejor sería sacar partido al chip TPM de nuestra máquina, si es que lo tiene.

¿Qué es el chip TPM?

Los sistemas modernos en su mayoría llevan ya hace algunos años un chip especial integrado en placa llamado TPM.

TPM es el acrónimo de Trusted Platform Module. Se trata de un microprocesador especializado en funciones criptográficas. Se instala en la placa base del PC y se comunica directamente con el resto de componentes hardware del mismo.

TPM

El procesador permite, entre otras cosas, crear claves criptográficas para cifrado de manera que solamente el TPM pueda descifrar la información cifrada con dichas claves. Un TPM posee una clave única propia llamada SRK (Storage Root Key) que va escrita en el propio chip de manera única cuando se fabrica. La clave privada de la SRK no se expone jamás a otros componentes ni siquiera del mismo equipo, y no se puede leer quitando el chip, así que permite asegurar la comunicación con éstos.

Los PCs que incorporan el chip TPM pueden crear una clave que no solo está protegida por el microprocesador, sino que además está atada a una configuración concreta de hardware. Si cualquier cosa cambia no se permite el descifrado.

La combinación de un chip TPM junto con software especializado en utilizarlo permiten crear configuraciones de seguridad muy interesantes. Una de ellas es, precisamente, el cifrado seguro del disco duro de modo que solo el sistema operativo pueda acceder al mismo.

Tanto Windows como Linux ofrecen de serie un sistema de cifrado nativo del disco duro que se basa en el uso del chip TPM.

En el caso de Linux se trata del subsistema dm-crypt.

En Windows viene de serie BitLocker.

Nota: Es importante señalar que algunos investigadores de seguridad indican que el uso de TPM no es totalmente seguro, porque si tienes acceso físico a la máquina podrías acceder a la RAM directamente y leer cierta información que luego podría usarse para descifrar los discos. Debe quedar claro que este sistema probablemente no detendrá a un atacante determinado a acceder al sistema, pero tendría que ser un atacante con unos conocimientos y recursos muy elevados. De lo que se trata es de, como en la fábula del león hambriento, de que el sistema esté razonablemente seguro para evitar la mayor parte de los ataques. Desde luego en condiciones normales nadie tendrá acceso a tu disco, y eso es lo importante en este caso. Al final del artículo daré una opción alternativa para proteger la información.

Vamos a ver cómo podemos sacarle partido a BitLocker en Windows para proteger nuestro ordenador incluso aunque nos lo roben.

Pero antes...

Cómo activar el chip TPM

Tengo un ultra-portátil de última generación de Dell, un XPS 13, que yo pensaba que -con toda seguridad- tenía que tener chip TPM. Cuál sería mi sorpresa cuando voy a activar Bitlocker en Windows y me sale un mensaje diciendo que mi ordenador no dispone de TPM. WTF?

La cuestión era que, por defecto, el chip no estaba activado en la BIOS. Viene desactivado de fábrica. Si te ocurre lo mismo es posible que estés en el mismo caso. Cualquier ordenador de gama media o alta de los últimos 5 años debería tener integrado el chip TPM.

En mi caso, una vez habiendo entrado en la BIOS localicé el ajuste rápidamente en el menú "Security":

TPM_BIOS_01

Una vez habilitado lo único que hay que hacer es grabar y reiniciar la máquina:

TPM_BIOS_02

A partir de ese momento Windows detectaba el chip TPM y me dejaba poner en marcha BitLocker.

¿Cómo activar BitLocker en Windows?

La verdad es que es bastante sencillo.

Lo primero es decidir qué disco o discos queremos cifrar. Como mínimo el del sistema operativo, claro, que generalmente es la unidad "C:\".

Abre el explorador de archivos y pulsa con el botón derecho sobre la unidad que quieres cifrar con BitLocker. En el menú contextual verás que tienes una opción para ello:

BitLocker_00

Púlsala. Te pedirá que autorices la operación como administrador.

Tras un proceso de inicialización bastante rápido aparecerá el asistente de BitLocker.

Lo primero que te pregunta es cómo quieres proteger el disco:

BitLocker_01

Las opciones son: con una clave de cifrado que debes introducir, mediante el uso de una smart card (si es que tienes acceso a un dispositivo de este tipo) o de manera automática. Podemos escoger cualquiera de las opciones, pero por regla general escogeremos la primera o la tercera, en función de si queremos tener que introducir una clave cada vez que arranquemos o lo dejamos en manos de Windows.

Nota: si cifras el disco del sistema no te da la opción de introducir la clave ya que es el Sistema Operativo el que debe gestionar esto para poder arrancar. Esta opción te saldrá solamente en discos de datos.

A continuación te pregunta si quieres cifrar el disco completo o solo lo que está ocupado:

BitLocker_02

Lo mejor es elegir la segunda opción. Tardará más en hacer el proceso inicial de cifrado, pero protegerá cualquier fragmento que quede en el disco de archivos borrados.

En Windows 10 hay un sistema de cifrado nuevo, por lo que te pregunta si quieres usarlo en lugar del más antiguo:

BitLocker_03

Salvo que se trata de una unidad extraíble que quieras usar también en otros PCs con versiones anteriores de Windows, escoge el método nuevo, como en la figura.

Antes de comenzar con el cifrado de la unidad se genera una clave de recuperación. Es muy importante porque si te olvidas de la clave que le has puesto o hay algún otro problema, con esta clave de recuperación podrás recuperar la información del disco:

BitLocker_04

Puedes guardarla en tu cuenta de Microsoft (si es que tienes una atada al equipo, algo menos habitual en equipos de empresa, donde no te saldrá), guardarla en un archivo de disco o simplemente imprimirla a un papel (para meter en la caja fuerte, supongo).

Lo normal es que escojas la opción de guardarla a un archivo. Lo suyo es que este archivo lo guardes fuera del equipo, en una unidad externa que tengas a buen recaudo, idealmente cifrada (más sobre esto luego). Yo, por ejemplo, lo guardo en una unidad cifrada que tengo en la nube.

Vale, casi estamos. Ahora te preguntará si quieres hacer unas verificaciones antes de proceder, lo cual es muy recomendable para evitar problemas:

BitLocker_05

Y al continuar pedirá que reinicies el equipo:

BitLocker_06

Tras reiniciar no notaremos nada especial, pero si buscamos "BitLocker" y vamos a ver el estado, veremos que pone "Cifrando la unidad". El proceso puede tardar un rato dependiendo del tamaño del archivo pero prácticamente no lo notaremos (al menos no en discos SSD que es de lo que puedo hablar de primera mano) , y mientras podemos seguir trabajando.

Cuando termine el proceso el icono del disco duro cambiará para indicar que está cifrado:

BitLocker_07

En esta figura el disco "C:" está cifrado con BitLocker, pero el "F:", donde solo guardo morralla y datos temporales no lo está.

¡Listo!

Siempre podemos consultar el estado, suspender temporalmente o quitar la protección BitLocker usando la herramienta de gestión de BitLocker de Windows que podemos encontrar escribiendo "BitLocker" en la búsqueda:

BitLocker_08

Proteger discos externos y llaves USB

Otra cosa interesante de BitLocker es que nos permite cifrar discos externos (llaves USB) de forma que solo se puedan leer si introducimos una clave. Si los perdemos el que los encuentre solo podrá, como mucho, formatearlo para poder utilizarlo, pero no tendrá acceso a nuestra información, lo cual es muy importante.

Para lograrlo lo único que hay que hacer es repetir el proceso anterior pero sobre un disco externo. En este caso a BitLocker le llaman "BitLocker To Go", pero es exactamente igual.

Acostúmbrate a proteger todos tus discos USB con BitLocker y quítate de problemas.

 

Cifrar discos usando otros sistemas

Una gran alternativa a BitLocker es La conocida VeraCrypt, un "fork" del mítico TrueCrypt que soluciona algunos fallos de seguridad descubiertos en éste (ya que TrueCrypt se dejó de mantener). Es gratuito y Open Source. Funciona en Windows, Linux y Mac e incluso en ordenadores antiguos que no tengan TPM, ya que no usa TPM (a propósito).

Te permite cifrar unidades y archivos e incluso crear unidades "ficticias" cifradas en tu sistema de archivos convencional. También es muy recomendable, pero no es tan transparente como BitLocker y requiere más conocimientos. Además tampoco es infalible pero sí lo suficientemente segura para la mayor parte de los usos.

Cifrar el móvil con Windows 10 Mobile

Ya puestos, para terminar, te cuento cómo puedes hacer que los contenidos de tu móvil con Windows 10 Mobile queden también cifrados y solo se pueda acceder a ellos a través de un PIN (el que usas par desbloquear el teléfono). Este tipo de sistemas se han hecho famosos hace poco por lo del famoso iPhone de los terroristas de California, que Apple no quería descifrar para el FBI.

Pues en Windows 10 Mobile también lo hay y es muy fácil de activar.

Basta ir a la configuración y entrar en "Sistema":

WM10-Enc-01

luego en "Cifrado de dispositivo":

WM10-Enc-02

y una vez dentro, si la casilla está desmarcada:

WM10-Enc-03

se marca y ¡listo!:

WM10-Enc-04

A partir de ese momento el dispositivo se cifra de manera transparente y está protegido aunque lo perdamos.

No hay ninguna otra indicación de que el teléfono esté cifrado aparte de este "check" de la pantalla anterior. En Windows Phone 8 sí que lo indicaba en las propiedades del almacenamiento, pero aquí no: otro de los detalles feos de Windows 10 que demuestran que está todavía sin terminar del todo :-(

En resumen

El cifrado completo de disco es una tarea de seguridad muy importante que no debiésemos descuidar y deberíamos llevar a cabo en cualquier equipo, pero especialmente en los portátiles y en los PCs y en los servidores de la empresa.

Incluso en los PCs de sobremesa, ya que un robo en la oficina podría poner en peligro información muy importante y de continuidad de negocio.

Una buena opción bajo Windows es utilizar BitLocker, que viene integrado en el sistema operativo y trabaja de manera transparente. Su impacto en el rendimiento es mínimo y nos permite proteger discos completos e incluso unidades extraíbles USB.

Dado que es gratis y sencillo no tenemos disculpa para no hacerlo. Así no tendrás que lamentarte cuando pierdas o te roben un dispositivo.

¡Espero que todo esto te sirva para tener más segura tu información!

💪🏻 ¿Este post te ha ayudado?, ¿has aprendido algo nuevo?
Pues NO te pido que me invites a un café... Te pido algo más fácil y mucho mejor

Escrito por un humano, no por una IA