Cómo cifrarlo todo: archivos

Después de ver cómo cifrar tu navegación web o tu correo electrónico, hoy le toca el turno a tus archivos. En la tercera entrega de nuestro especial Cómo cifrarlo todo vamos a ver qué opciones hay para proteger tus archivos y cómo funcionan.

¿Por qué querrías cifrar tus archivos? Una posibilidad es para proteger datos confidenciales en caso de que te roben el portátil. Incluso aunque tengas el sistema protegido con contraseña, si alguien saca el disco duro y lo conecta a otro ordenador o si arranca con otro sistema operativo, podrá leer tus archivos. También puede ser que quieras subir archivos a la nube (a Dropbox u OneDrive, por ejemplo) pero protegiéndolos antes para que nadie pueda saber qué contienen.

Hoy vamos a ver dos formas de aplicar el cifrado de archivos: discos virtuales cifrados y el cifrado de particiones enteras.

Discos virtuales cifrados

La primera idea que se nos vendría a la cabeza a la hora de proteger un archivo es usar programas como GnuPG para descifrarlo cuando queramos usarlo y cifrarlo de nuevo cuando hayamos acabado. Sin embargo, además de incómodo es poco seguro: tendríamos que sobreescribir el archivo descifrado para que no se pueda recuperar, y por supuesto no podríamos olvidarnos de borrarlo o toda esta parafernalia no serviría nada.

Una alternativa mejor es crear discos virtuales cifrados. Son como una imagen de disco ISO o DMG: en su interior están todos los archivos que quieras proteger. Para acceder a ellos, simplemente montas la imagen y te aparecerá en tu sistema como si fuese otra partición.

La principal ventaja es que el programa que uses se encarga de forma transparente del cifrado y descifrado de los archivos. Desde el punto de vista del usuario y de cualquier programa, esos archivos son como cualquier otro. Por debajo, el software de protección se encarga de cifrar y descifrarlos según corresponda.

Windows y Linux: TrueCrypt

En Windows y Linux, la mejor opción es usar TrueCrypt. Es gratuito y software libre, y precisamente hace unos días acaba de salir la primera parte de una auditoría de seguridad que de momento garantiza que no tiene puertas traseras.

Crear un disco virtual es bastante fácil. Una vez instalado TrueCrypt, lo abrimos y pulsamos en el botón _Create Volume_, elegimos la opción _Create an encrypted file container_ y a partir de ahí seguimos el asistente para elegir dónde crear el contenedor, cuánto espacio le asignamos y los parámetros de cifrado.

Ahora bien, no se puede abrir un disco virtual de TrueCrypt con un doble clic. El contenedor no tiene ningún tipo de identificador que diga que en realidad es un archivo cifrado. La razón es que TrueCrypt no sólo cifra sino que también está orientado a ocultar los archivos (veréis que no se guarda historial de los archivos que abrís, y probablemente hayáis visto la opción de crear volúmenes ocultos).

Para abrir un contenedor de TrueCrypt, hay que abrir la aplicación y, en el menú Volume, seleccionar el archivo y pulsar "Mount". Después de escribir la contraseña, se montará como un volumen más y podréis trabajar con él de forma transparente.

Mac OS X: TrueCrypt o Utilidad de discos

En OS X tenemos dos posibilidades: o TrueCrypt, como en Linux y Windows, o el gestor de discos que viene por defecto en el sistema.

La segunda opción es muy sencilla. Simplemente abrimos _Utilidad de discos_ y pulsamos el botón _Nueva imagen_. Ahí, además de decir dónde guardarla, tendremos que configurar el tipo de cifrado que queremos: AES de 128 bits o de 256 bits (más seguro pero más lento). Aseguraos de darle formato de escritura y lectura y de reservar espacio suficiente (estas unidades son de tamaño fijo). Al darle a crear nos pedirá la contraseña con la que cifrar la unidad.

Una vez creada, para abrirla sólo hay que hacer doble clic e introducir la contraseña. En ese momento se montará como una unidad de disco normal en la que podremos manejar los archivos como si fueran normales. Todo lo que metáis ahí permanecerá cifrado e ilegible sin la contraseña correspondiente.

Cifrado completo del sistema

La segunda posibilidad que tenemos para cifrar nuestros archivos es cifrar por completo el sistema. Es conveniente cuando queréis tener absolutamente todo protegido y no sólo ciertos archivos: el sistema operativo se encarga de todo desde el arranque y sólo tenéis que preocuparos de poner vuestra contraseña.

Ahora bien, este enfoque viene con una desventaja muy importante, y es el rendimiento. Como podréis imaginar, el tener que cifrar y descifrar los archivos cada vez que se accede a ellos ralentiza bastante el sistema. Además, si perdéis la contraseña y las claves de recuperación, perdéis los datos. No hay forma de recuperarlos.

Por eso, no os recomendaría usar esta opción salvo que tengáis realmente claro que lo queréis hacer. Si a pesar de todo seguís convencidos, seguid leyendo.

Mac OS X: FileVault

La configuración de cifrado en OS X es bastante sencilla. Sólo hay que abrir el menú de preferencias y, en la sección de _Seguridad y privacidad_, irse a la pestaña _FileVault_. Ahí, pulsad el botón _Activar FileVault_ (probablemente tengáis que desbloquearlo antes con el candado en la esquina inferior izquierda) para comenzar el proceso.

Al activarlo, tendrás que elegir las cuentas que tendrán la capacidad de descifrar el disco (sólo se podrá acceder con el resto de cuentas una vez que el disco haya sido desbloqueado). También tendrás que copiar la clave de recuperación y, opcionalmente, enviarla a los servidores de Apple para que la guarden en caso de que tengas algún problema.

Después de configurar FileVault, el ordenador se reiniciará y te pedirá que entres con tu cuenta y contraseña para continuar el arranque. En ese momento comenzará el cifrado de todos tus archivos en segundo plano. No hace falta preocuparse por cuándo vaya a acabar: OS X se encarga automáticamente de pausar y reanudar el proceso si apagas o hibernas el ordenador.

Windows: BitLocker o TrueCrypt

BitLocker es el sistema de cifrado que incluyen Windows Vista y 7 en su versión Ultimate y Windows 8 Pro. Lo más interesante es las opciones que tenemos para descifrar el sistema. Como imagináis, podemos usar una contraseña, pero también un _pendrive_ USB que contenga la clave. Si además vuestro equipo soporta Trusted Platform Module (TPM), podéis desbloquear el equipo sin ningún tipo de clave.

Esta última posibilidad funciona gracias a un chip que almacena la clave de cifrado del disco, y que sólo permite leerla si no se ha modificado el sistema de arranque del ordenador. Es un sistema totalmente transparente para el usuario (de hecho, está activado por defecto en Windows RT) para mantener los archivos protegidos. Por supuesto, hay que configurar Windows para que os pida contraseña al entrar: no sirve de nada cifrarlo todo si luego cualquiera puede arrancar el ordenador sin identificarse.

La configuración de BitLocker se encuentra en _Panel de control -> Sistema y seguridad -> Cifrado de unidad BitLocker_. Ahí pulsáis _Activar BitLocker_, que os guiará a través de un asistente para configurar todo lo necesario.

Cambio de las directivas de seguridad en Windows. Clic para agrandar.

Si os sale un aviso diciendo que _"Este dispositivo no puede usar un Módulo de plataforma segura"_, tendréis que cambiar las directivas de seguridad del equipo. No os preocupéis que no es difícil: en el menú ejecutar (tecla Win + R) escribid _gpedit.msc_. Una vez que se abra la ventana, en el panel izquierdo navegad a _Configuración del equipo -> Plantillas administrativas -> Componentes de Windows -> Cifrado de unidad BitLocker -> Unidades del sistema operativo_. Ahora en el panel derecho, haced doble clic en _Requerir autenticación adicional al iniciar_. Activad la opción pulsando en _Habilitada_ y aseguraos de que la opción _Permitir BitLocker sin un TPM compatible_ también está activada. Pulsad _Aceptar_ y ya debería dejaros activar BitLocker.

Si vuestra versión de Windows no os permite ejecutar BitLocker o si simplemente no os convence, también podéis usar TrueCrypt de nuevo. TrueCrypt permite (sólo en Windows) cifrar por completo la partición de sistema. De esta forma, antes siquiera de que arranque Windows aparecerá el cargador de arranque de TrueCrypt, que os pedirá la contraseña de cifrado. Cuando la introduzcáis, el sistema cargará normalmente aunque por debajo TrueCrypt estará cifrando y descifrando los archivos que utilice.

Para cifrar vuestro volumen entero con TrueCrypt, tenéis que pulsar en _Create Volume_, activar la opción _Encrypt the system partition or entire system drive_ y a partir de ahí seguir el asistente que os guiará por todo el proceso.

Linux

En Linux las cosas están más difíciles para cifrar todo vuestro disco, especialmente si ya tenéis el sistema instalado. Muchas distribuciones, incluida Ubuntu, te dan una opción para cifrar todo tu disco duro al instalar el sistema. Hacerlo con todo instalado es más difícil y, sobre todo, arriesgado.

La otra opción que hay en Linux, más sencilla, es cifrar nuestro directorio _home_. Normalmente, la mayoría de los datos que queramos guardar estarán en ese directorio, así que acabaremos con un nivel de seguridad más o menos equivalente. Y, por suerte, esta vez sí hay forma de hacerlo cuando ya tenemos el sistema instalado y todos los usuarios creados.

Primero necesitaremos eCryptFs: aquí podéis encontrar los paquetes para vuestra distribución. Para los que usen Ubuntu y derivados, que imagino seréis la mayoría, se instala con sudo apt-get install ecryptfs-utils.

Una vez instalado eCryptFs, crearemos un nuevo usuario para cifrar nuestra _home_. Podéis hacerlo a través de la interfaz de vuestro entorno de escritorio o desde la terminal con sólo un comando: sudo adduser _username_ && sudo adduser _username_ sudo, cambiando _username_ por el nombre de usuario que queráis. Cuando lo hayáis hecho, salid de vuestra sesión y entrad en la del usuario recién creado. Ahí, abrid una terminal y ejecutad sudo ecryptfs-migrate-home –u _tuusuario_, donde _tuusuario_ es el nombre de tu cuenta habitual (no el temporal que acabamos de crear). Después, salid de esa cuenta y entrad en la vuestra.

En ese momento debería aparecer una ventana con instrucciones para acabar de completar la configuración (si no aparece, ejecutad ecryptfs-add-passphrase). A partir de ahora, vuestro directorio personal quedará cifrado de forma transparente: vosotros no veréis ningún cambio (quizás que todo vaya más lento) y podréis seguir leyendo y escribiendo archivos normalmente, pero físicamente todos vuestros datos estarán cifrados en el disco.

Hasta aquí esta entrega del especial Cómo cifrarflo todo. Por supuesto, estos no son los únicos métodos para cifrar vuestros archivos. No pretendemos recopilar todas las soluciones posibles, pero sí daros opciones para que cualquiera sepa en qué consiste cifrar archivos y cómo hacerlo. Si alguno tiene sugerencias o dudas, poned un comentario y trataremos de ayudaros.

Ver todos los comentarios en https://www.genbeta.com

VER 11 Comentarios

Portada de Genbeta