¿Habéis pensado alguna vez en lo que pasaría si os robaran el portátil? Pues a parte del consiguiente disgusto, si el portátil no está convenientemente protegido el ladrón tendría acceso completo a todos los datos de vuestro dispositivo. Lo que incluye, probablemente todas vuestras contraseñas, tarjetas bancarias si habéis hecho transacciones comerciales con él, etc.
Esta semana en el trabajo hemos tenido un episodio de este tipo y excepto el quebradero de cabeza para el afectado y el coste económico para la empresa, el amigo de lo ajeno solo podrá disfrutar del continente (dispositivo) pero no del contenido del disco duro, ya que la información está cifrada con Bitlocker en Windows.
El programa de cifrado de disco BitLocker provee de cifrado de disco a las versiones Profesional, Ultimate y Enterprise de Windows, así como a las versiones para empresas de Windows Server. Está diseñado para proteger los datos al proporcionar cifrado para volúmenes enteros. Por defecto se utiliza el algoritmo de cifrado estándar AES en modo CBC con una clave de 128 bits.
La última versión de BitLocker añade la opción de cifrar unidades extraíbles.
Existen tres mecanismos de autenticación que pueden ser utilizados como elementos básicos para implementar el cifrado BitLocker.
- Modo de funcionamiento transparente: Este modo aprovecha las capacidades del módulo de plataforma de confianza (en inglés, Trusted Platform Module, TPM). La clave utilizada para el cifrado de disco está cifrada y solo se dará a conocer el código al sistema operativo si los archivos de inicio a principio del arranque no han sido modificados. Este modo es vulnerable a un ataque de arranque en frío, ya que permite el apagado de la máquina por un atacante.
- Modo de autenticación de usuario: Este modo requiere que el usuario proporcione alguna clave de autenticación al prearranque. Este modo es vulnerable a un ataque rootkit.
- Modo en dispositivos USB: El usuario debe insertar un dispositivo USB que contenga una clave de inicio en el equipo para poder arrancar el sistema operativo protegido. Tenga en cuenta que esta modalidad requiere que la BIOS de la máquina protegida acepte el arranque desde dispositivos USB. Este modo también es vulnerable a un ataque rootkit.
Contrariamente a la denominación oficial, el cifrador de disco BitLocker es un volumen lógico. Un volumen puede o no ser todo un disco, y las unidades pueden abarcar uno o más discos físicos. Además, cuando está activado el módulo de plataforma confiable (TPM), BitLocker puede garantizar la integridad de la ruta de inicio de confianza (por ejemplo, una BIOS, un sector de arranque, etc), a fin de prevenir los ataques físicos fuera de línea, el malware sector de arranque, etc.
Con el fin de que BitLocker opere, el disco duro requiere un mínimo de dos particiones NTFS: una para el sistema operativo (usualmente en C:) y otra con un tamaño mínimo de 100 MB en el sistema operativo de arranque. BitLocker requiere un volumen de arranque que permanezca sin cifrar, por lo que el arranque no debe ser utilizado para almacenar información confidencial. A diferencia de versiones anteriores de Windows, «diskpart«, herramienta de línea de comandos, incluye la capacidad de reducir el tamaño de un volumen NTFS de modo que el volumen del sistema para BitLocker puede ser creado. Una herramienta llamada «BitLocker Drive Preparation Tool» también está disponible en Microsoft, y permite a un volumen existente ser reducido para dar cabida a un volumen de arranque, y para los archivos a transferir al mismo. Desde BitLocker se requieren al menos dos particiones formateadas en NTFS; algunos usuarios prefieren cifrar todo el disco duro, sin necesidad de separación.
Una vez que una partición de arranque alternativo ha sido creada, el módulo TPM tiene que ser inicializado (suponiendo que esta característica se utiliza) después de que el cifrado de disco requiera mecanismos de protección clave. El volumen se cifra como una tarea de fondo, algo que puede tomar una cantidad considerable de tiempo en un disco grande. Solo una vez que el volumen total se ha cifrado con las claves protegidas, el volumen se considera seguro.
Otro sistemas de cifrado de archivos pueden utilizarse junto con BitLocker para ofrecer protección una vez que el núcleo del sistema operativo se haya cargado. Desde BitLocker se descifran los archivos del disco antes de que el sistema operativo se haya cargado (y por tanto fuera del contexto del sistema operativo).
Fuente: https://es.wikipedia.org/wiki/BitLocker_Drive_Encryption
Os explico como hacerlo con un pendrive, pero sería exactamente lo mismo con un disco duro. Pasos a seguir:
- En la lupa de búsqueda de Windows escribe Bitlocker.
- Selecciona Administrar Bitlocker
- Selecciona Bitlocker en la unidad extraible
- Pulsa activar Bitlocker
- Escribe una contraseña para debloquear la unidad y pulsa Siguiente
- Ahora Windows genera una clave de recuperación que puedes imprimir o guardar en disco y Pulsa Siguiente
- Selecciona Cifrar la unidad entera si tu disco o unidad pendrive ya está en uso.
- Elije el modo de cifrado. Elijo Compatible porque al ser un pendrive no se si voy a ponerlo en un equipo con Windows 7, Windows 10 o Windows 11. Si es un disco interno puedes elegir Cifrado nuevo.
- Pulsa Iniciar cifrado.