Cómo cifrarlo todo: archivos

Matrix

Después de ver cómo cifrar tu navegación web o tu correo electrónico, hoy le toca el turno a tus archivos. En la tercera entrega de nuestro especial Cómo cifrarlo todo vamos a ver qué opciones hay para proteger tus archivos y cómo funcionan.

¿Por qué querrías cifrar tus archivos? Una posibilidad es para proteger datos confidenciales en caso de que te roben el portátil. Incluso aunque tengas el sistema protegido con contraseña, si alguien saca el disco duro y lo conecta a otro ordenador o si arranca con otro sistema operativo, podrá leer tus archivos. También puede ser que quieras subir archivos a la nube (a Dropbox u OneDrive, por ejemplo) pero protegiéndolos antes para que nadie pueda saber qué contienen.

Hoy vamos a ver dos formas de aplicar el cifrado de archivos: discos virtuales cifrados y el cifrado de particiones enteras.

Discos virtuales cifrados

La primera idea que se nos vendría a la cabeza a la hora de proteger un archivo es usar programas como GnuPG para descifrarlo cuando queramos usarlo y cifrarlo de nuevo cuando hayamos acabado. Sin embargo, además de incómodo es poco seguro: tendríamos que sobreescribir el archivo descifrado para que no se pueda recuperar, y por supuesto no podríamos olvidarnos de borrarlo o toda esta parafernalia no serviría nada.

Una alternativa mejor es crear discos virtuales cifrados. Son como una imagen de disco ISO o DMG: en su interior están todos los archivos que quieras proteger. Para acceder a ellos, simplemente montas la imagen y te aparecerá en tu sistema como si fuese otra partición.

La principal ventaja es que el programa que uses se encarga de forma transparente del cifrado y descifrado de los archivos. Desde el punto de vista del usuario y de cualquier programa, esos archivos son como cualquier otro. Por debajo, el software de protección se encarga de cifrar y descifrarlos según corresponda.

Windows y Linux: TrueCrypt

TrueCrypt

En Windows y Linux, la mejor opción es usar TrueCrypt. Es gratuito y software libre, y precisamente hace unos días acaba de salir la primera parte de una auditoría de seguridad que de momento garantiza que no tiene puertas traseras.

Crear un disco virtual es bastante fácil. Una vez instalado TrueCrypt, lo abrimos y pulsamos en el botón Create Volume, elegimos la opción Create an encrypted file container y a partir de ahí seguimos el asistente para elegir dónde crear el contenedor, cuánto espacio le asignamos y los parámetros de cifrado.

Ahora bien, no se puede abrir un disco virtual de TrueCrypt con un doble clic. El contenedor no tiene ningún tipo de identificador que diga que en realidad es un archivo cifrado. La razón es que TrueCrypt no sólo cifra sino que también está orientado a ocultar los archivos (veréis que no se guarda historial de los archivos que abrís, y probablemente hayáis visto la opción de crear volúmenes ocultos).

Para abrir un contenedor de TrueCrypt, hay que abrir la aplicación y, en el menú Volume, seleccionar el archivo y pulsar “Mount”. Después de escribir la contraseña, se montará como un volumen más y podréis trabajar con él de forma transparente.

Mac OS X: TrueCrypt o Utilidad de discos

Disco virtual en Mac

En OS X tenemos dos posibilidades: o TrueCrypt, como en Linux y Windows, o el gestor de discos que viene por defecto en el sistema.

La segunda opción es muy sencilla. Simplemente abrimos Utilidad de discos y pulsamos el botón Nueva imagen. Ahí, además de decir dónde guardarla, tendremos que configurar el tipo de cifrado que queremos: AES de 128 bits o de 256 bits (más seguro pero más lento). Aseguraos de darle formato de escritura y lectura y de reservar espacio suficiente (estas unidades son de tamaño fijo). Al darle a crear nos pedirá la contraseña con la que cifrar la unidad.

Una vez creada, para abrirla sólo hay que hacer doble clic e introducir la contraseña. En ese momento se montará como una unidad de disco normal en la que podremos manejar los archivos como si fueran normales. Todo lo que metáis ahí permanecerá cifrado e ilegible sin la contraseña correspondiente.

Cifrado completo del sistema

La segunda posibilidad que tenemos para cifrar nuestros archivos es cifrar por completo el sistema. Es conveniente cuando queréis tener absolutamente todo protegido y no sólo ciertos archivos: el sistema operativo se encarga de todo desde el arranque y sólo tenéis que preocuparos de poner vuestra contraseña.

Ahora bien, este enfoque viene con una desventaja muy importante, y es el rendimiento. Como podréis imaginar, el tener que cifrar y descifrar los archivos cada vez que se accede a ellos ralentiza bastante el sistema. Además, si perdéis la contraseña y las claves de recuperación, perdéis los datos. No hay forma de recuperarlos.

Por eso, no os recomendaría usar esta opción salvo que tengáis realmente claro que lo queréis hacer. Si a pesar de todo seguís convencidos, seguid leyendo.

Mac OS X: FileVault

FileVault

La configuración de cifrado en OS X es bastante sencilla. Sólo hay que abrir el menú de preferencias y, en la sección de Seguridad y privacidad, irse a la pestaña FileVault. Ahí, pulsad el botón Activar FileVault (probablemente tengáis que desbloquearlo antes con el candado en la esquina inferior izquierda) para comenzar el proceso.

Al activarlo, tendrás que elegir las cuentas que tendrán la capacidad de descifrar el disco (sólo se podrá acceder con el resto de cuentas una vez que el disco haya sido desbloqueado). También tendrás que copiar la clave de recuperación y, opcionalmente, enviarla a los servidores de Apple para que la guarden en caso de que tengas algún problema.

Después de configurar FileVault, el ordenador se reiniciará y te pedirá que entres con tu cuenta y contraseña para continuar el arranque. En ese momento comenzará el cifrado de todos tus archivos en segundo plano. No hace falta preocuparse por cuándo vaya a acabar: OS X se encarga automáticamente de pausar y reanudar el proceso si apagas o hibernas el ordenador.

Windows: BitLocker o TrueCrypt

BitLocker

BitLocker es el sistema de cifrado que incluyen Windows Vista y 7 en su versión Ultimate y Windows 8 Pro. Lo más interesante es las opciones que tenemos para descifrar el sistema. Como imagináis, podemos usar una contraseña, pero también un pendrive USB que contenga la clave. Si además vuestro equipo soporta Trusted Platform Module (TPM), podéis desbloquear el equipo sin ningún tipo de clave.

Esta última posibilidad funciona gracias a un chip que almacena la clave de cifrado del disco, y que sólo permite leerla si no se ha modificado el sistema de arranque del ordenador. Es un sistema totalmente transparente para el usuario (de hecho, está activado por defecto en Windows RT) para mantener los archivos protegidos. Por supuesto, hay que configurar Windows para que os pida contraseña al entrar: no sirve de nada cifrarlo todo si luego cualquiera puede arrancar el ordenador sin identificarse.

La configuración de BitLocker se encuentra en Panel de control -> Sistema y seguridad -> Cifrado de unidad BitLocker. Ahí pulsáis Activar BitLocker, que os guiará a través de un asistente para configurar todo lo necesario.

Cambio de las directivas de seguridad en Windows Cambio de las directivas de seguridad en Windows. Clic para agrandar.

Si os sale un aviso diciendo que “Este dispositivo no puede usar un Módulo de plataforma segura”, tendréis que cambiar las directivas de seguridad del equipo. No os preocupéis que no es difícil: en el menú ejecutar (tecla Win + R) escribid gpedit.msc. Una vez que se abra la ventana, en el panel izquierdo navegad a Configuración del equipo -> Plantillas administrativas -> Componentes de Windows -> Cifrado de unidad BitLocker -> Unidades del sistema operativo. Ahora en el panel derecho, haced doble clic en Requerir autenticación adicional al iniciar. Activad la opción pulsando en Habilitada y aseguraos de que la opción Permitir BitLocker sin un TPM compatible también está activada. Pulsad Aceptar y ya debería dejaros activar BitLocker.

TrueCrypt

Si vuestra versión de Windows no os permite ejecutar BitLocker o si simplemente no os convence, también podéis usar TrueCrypt de nuevo. TrueCrypt permite (sólo en Windows) cifrar por completo la partición de sistema. De esta forma, antes siquiera de que arranque Windows aparecerá el cargador de arranque de TrueCrypt, que os pedirá la contraseña de cifrado. Cuando la introduzcáis, el sistema cargará normalmente aunque por debajo TrueCrypt estará cifrando y descifrando los archivos que utilice.

Para cifrar vuestro volumen entero con TrueCrypt, tenéis que pulsar en Create Volume, activar la opción Encrypt the system partition or entire system drive y a partir de ahí seguir el asistente que os guiará por todo el proceso.

Linux

EcryptFS

En Linux las cosas están más difíciles para cifrar todo vuestro disco, especialmente si ya tenéis el sistema instalado. Muchas distribuciones, incluida Ubuntu, te dan una opción para cifrar todo tu disco duro al instalar el sistema. Hacerlo con todo instalado es más difícil y, sobre todo, arriesgado.

La otra opción que hay en Linux, más sencilla, es cifrar nuestro directorio home. Normalmente, la mayoría de los datos que queramos guardar estarán en ese directorio, así que acabaremos con un nivel de seguridad más o menos equivalente. Y, por suerte, esta vez sí hay forma de hacerlo cuando ya tenemos el sistema instalado y todos los usuarios creados.

Primero necesitaremos eCryptFs: aquí podéis encontrar los paquetes para vuestra distribución. Para los que usen Ubuntu y derivados, que imagino seréis la mayoría, se instala con sudo apt-get install ecryptfs-utils.

Una vez instalado eCryptFs, crearemos un nuevo usuario para cifrar nuestra home. Podéis hacerlo a través de la interfaz de vuestro entorno de escritorio o desde la terminal con sólo un comando: sudo adduser username && sudo adduser username sudo, cambiando username por el nombre de usuario que queráis. Cuando lo hayáis hecho, salid de vuestra sesión y entrad en la del usuario recién creado. Ahí, abrid una terminal y ejecutad sudo ecryptfs-migrate-home –u tuusuario, donde tuusuario es el nombre de tu cuenta habitual (no el temporal que acabamos de crear). Después, salid de esa cuenta y entrad en la vuestra.

En ese momento debería aparecer una ventana con instrucciones para acabar de completar la configuración (si no aparece, ejecutad ecryptfs-add-passphrase). A partir de ahora, vuestro directorio personal quedará cifrado de forma transparente: vosotros no veréis ningún cambio (quizás que todo vaya más lento) y podréis seguir leyendo y escribiendo archivos normalmente, pero físicamente todos vuestros datos estarán cifrados en el disco.

Hasta aquí esta entrega del especial Cómo cifrarflo todo. Por supuesto, estos no son los únicos métodos para cifrar vuestros archivos. No pretendemos recopilar todas las soluciones posibles, pero sí daros opciones para que cualquiera sepa en qué consiste cifrar archivos y cómo hacerlo. Si alguno tiene sugerencias o dudas, poned un comentario y trataremos de ayudaros.


La noticia Cómo cifrarlo todo: archivos fue publicada originalmente en Genbeta por Guillermo Julián.









Genbeta

0 comentarios

Escribe tu comentario

Want to join the discussion?
Feel free to contribute!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>