La encriptación del disco duro o cifrado del disco duro, consiste en proteger la información contenida en un disco duro mediante su cifrado, para evitar el acceso no autorizado a los datos almacenados. El cifrado de disco puede estar basado en software o en hardware. Generalmente la encriptación del disco duro funciona de forma transparente para el usuario, el sistema y las aplicaciones, a diferencia de la encriptación a nivel de archivo, que requiere que el usuario decida qué archivos o directorios específicos deben ser cifrados.
Qué es la encriptación del disco duro
La encriptación del disco duro o cifrado del disco duro (en inglés “disk encryption”), es una tecnología que permite activar una protección especial sobre el disco duro, convirtiendo su información en un código ilegible, que no puede ser descifrado fácilmente por alguien no autorizado. Para lograr esto, se encripta cada uno de los datos contenidos en el disco duro o en una de sus particiones. El cifrado de disco impide el acceso no autorizado a los datos almacenados.
En cuanto a las formas de cifrar el disco duro, principalmente hay dos formas de ejercer el cifrado sobre un disco duro, una es cifrar el disco completo y la otra es cifrar solo archivos o carpetas específicas:
- Cifrado completo del disco (full disk encryption): Este tipo de cifrado abarca todos los archivos contenidos en el disco, por lo que ofrece mayor seguridad que el cifrado por carpetas. El cifrado completo del disco normalmente incluye todos los aspectos del disco, incluidos los directorios y metadatos, para que un atacante no pueda determinar el contenido, el nombre o el tamaño de ningún archivo. El cifrado completo del disco opera en un volumen entero de forma transparente para el usuario, el sistema y las aplicaciones. Está bien adaptado a dispositivos portátiles, como computadoras portátiles y unidades de memoria flash que son particularmente susceptibles a ser perdidos o robados. Si se utiliza correctamente, alguien que encuentra un dispositivo perdido cifrado no puede acceder a los datos almacenados, ni siquiera podrá saber qué archivos contiene.
- Cifrado de disco a nivel de archivo o sistema de ficheros (filesystem level encryption): En este caso solo se cifran archivos individuales o carpetas específicas que seleccione el usuario. Esta es una forma de cifrado más flexible, pues realiza más rápido los proceso de cifrado y descifrado y no se requieren permisos ni maniobras especiales para cargar el sistema operativo. El cifrado a nivel de sistema de archivos normalmente no encripta los metadatos del sistema de archivos, como la estructura de directorios, nombres de archivo, marcas de tiempo de modificación o tamaños.
El cifrado completo de disco no reemplaza la funcionalidad del cifrado de archivos en todas las situaciones. Dado que el cifrado de disco generalmente utiliza la misma clave para cifrar todo el volumen, si un atacante obtiene acceso al equipo en tiempo de ejecución, el atacante tiene acceso a todos los archivos. El cifrado de archivos y carpetas, por el contrario, permite diferentes claves para diferentes partes del disco, por lo que un atacante no puede extraer información de los archivos y carpetas cifrados si no dispone de todas las claves. Por ese motivo, el cifrado de disco se utiliza a veces junto con el cifrado a nivel de sistema de archivos con el propósito de proporcionar una implementación más segura.
Respecto a los métodos para cifrar el disco duro, existen diferentes herramientas que se pueden clasificar en dos grupos principales:
- Cifrado de disco basado en software (disk encryption software).
- Cifrado de disco basado en hardware (disk encryption hardware).
Cifrado de disco basado en software (disk encryption software)
El cifrado de disco basado en software utiliza un software de seguridad informática cuya función es proteger la confidencialidad de los datos almacenados en medios informáticos (por ejemplo, un disco duro, disquete o dispositivo USB) mediante el cifrado del disco. Estos programas permiten el cifrado de discos o de archivos, funcionan sobre cualquier tipo de archivo y mantienen el encriptado aun cuando el archivo se traslada de su ubicación original, siendo la única forma de hacerlos legibles el uso del software y la contraseña correcta.
Este tipo de cifrado basado en software protege la confidencialidad de los datos incluso cuando el sistema operativo no está activo, por ejemplo, si los datos se leen directamente desde el hardware o desde otro sistema operativo. Además, la encriptación suprime la necesidad de borrar los datos al final del ciclo de vida del disco.
Los datos del disco se protegen mediante criptografía simétrica con una clave generada aleatoriamente cuando se establece el cifrado del disco. Esta clave está encriptada de alguna manera utilizando una contraseña o frase de paso conocida (en teoría) sólo por el usuario. Para acceder a los datos del disco, el usuario debe proporcionar la contraseña después de cada inicio del sistema operativo para poner la clave a disposición del software y que se puedan así utilizar los datos cifrados.
El cifrado de disco basado en software opera normalmente a un nivel entre las aplicaciones y los controladores de dispositivo de bajo nivel. Su funcionamiento es transparente desde el punto de vista del usuario, ya que cifra los datos después de ser producidos por un programa pero antes de ser físicamente escritos en el disco. En las operaciones de lectura, descifra los datos inmediatamente después de ser leídos, pero antes de ser presentados al programa, de tal modo que los programas no son conscientes de estas operaciones criptográficas.
Cifrado de disco basado en hardware (disk encryption hardware)
El cifrado de disco basado en hardware, también conocido como “unidad de cifrado automático” (SED, Self Encrypting Drive) opera directamente en el disco, viene integrado en la placa lógica, sin necesidad de ejecutar software adicional. Este tipo de cifrado suele ser más seguro que el de software, sin embargo es más complicado de implementar, porque conlleva el reemplazo de piezas y el uso de equipos costosos.
El cifrado de disco basado en hardware, que está incorporado en la unidad, no tiene ningún impacto en el rendimiento y es transparente para el usuario. La unidad, excepto para la autenticación de arranque, funciona igual que cualquier unidad convencional, sin degradación en el rendimiento, ya que todo el cifrado es transparente para el sistema operativo, el procesador del host y para el usuario.
El hardware diseñado para un propósito determinado a menudo puede lograr un mejor rendimiento que las implementaciones de software. Si cifrado de disco por hardware está integrado en la propia unidad, los medios pueden diseñarse para una mejor integración. Tan pronto como la clave se ha inicializado, el hardware debe en principio ser completamente transparente para el sistema operativo. Por otra parte, la clave de cifrado simétrica se mantiene independiente de la CPU, eliminando así la memoria del ordenador como un vector de ataque potencial.
Como desventajas del cifrado de disco basado en hardware podemos citar el hecho de que las soluciones de hardware han sido criticadas por estar mal documentadas, ya que muchos aspectos de cómo se realiza el cifrado no son publicados por el proveedor, lo que deja al usuario con pocas posibilidades de juzgar la seguridad del producto y los posibles métodos de ataque.
Además, la implementación de cifrado de disco basado en hardware supone por lo general un elevado coste para reemplazar el hardware existente, que lo hace prohibitivo para muchas empresas. Esto dificulta en gran medida la migración de las tecnologías de cifrado basadas en software a soluciones de cifrado basadas en hardware.