Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo proteger las unidades USB y otros dispositivos de almacenamiento portátil

[10/06/2013] A medida que los individuos y organizaciones digitalizan más datos, se vuelven más susceptibles a las principales amenazas digitales a la información. Aunque son convenientes, las tarjetas de memoria flash USB de bajo costo y otros dispositivos portátiles de almacenamiento sin duda no ayudan a la causa, debido a que los trabajadores los usan para transportar bases de datos y otra información confidencial. Además del peligro real de los datos mal empleados, las principales brechas en la seguridad también ocasionan una publicidad negativa perjudicial.
Puede parecer inherentemente complejo, pero asegurar los dispositivos de almacenamiento portátil está al alcance de las pequeñas empresas. Esto es lo que las organizaciones pueden hacer para proteger sus datos.
Por encima de todo, cifre los datos
Antes de discutir los métodos comunes para asegurar dispositivos de almacenamiento portátil, vale la pena destacar una ventaja a menudo infravalorada del cifrado de datos en dispositivos portátiles de almacenamiento. En concreto, los datos encriptados correctamente ofrecen una malla de seguridad contra el hecho de que datos potencialmente embarazosos o perjudiciales salgan a la luz desde dispositivos de almacenamiento que fueron desechados o vendidos.
Muchas empresas no se dan cuenta de cómo los archivos borrados fácilmente se pueden recuperar con el sencillo software de recuperación de dispositivos de almacenamiento mecánicos, tales como unidades de disco duro (HDD) o unidades USB. La reconstitución de los datos previamente cifrados, por otro lado, es mucho más difícil, ya que requiere las credenciales originales o incluso una copia de la clave de descifrado.
Un dispositivo de almacenamiento cifrado con una clave de descifrado que se ha borrado, o uno con una buena frase de contraseña de autenticación, ofrece una buena protección contra la recuperación maliciosa de datos. Sin embargo, un dispositivo de almacenamiento totalmente destruido físicamente sigue siendo la defensa más segura contra fugas de datos.
Windows 7 y 8: BitLocker To Go
Para los usuarios de Windows, BitLocker To Go es la manera más fácil de cifrar un dispositivo de almacenamiento portátil USB entero. Esta capacidad, que apareció por primera vez con Windows 7, se inicializa a nivel de disco volumen de una unidad de almacenamiento extraíble. El contenido no cifrado del disco está protegido con contraseña y los datos se encriptan automáticamente, mientras se copia. Para mayor comodidad, es posible activar el auto-desbloqueo, que permite a una PC almacenar los datos desencriptados desde unidades de almacenamiento específicas.
Aunque los volúmenes de BitLocker To Go se pueden acceder desde cualquier versión de Windows 7 y versiones posteriores, es necesario tener Windows 7 Enterprise, Windows 7 Ultimate, Windows 8 Pro o Windows 8 Enterprise para inicializar BitLocker To Go en las unidades de almacenamiento. Para las plataformas Windows XP o Vista, puede instalar una aplicación lectora de BitLocker To Go en el dispositivo de almacenamiento de destino durante la inicialización. Esta aplicación, disponible como descarga, ofrece a los usuarios acceso de solo lectura con protección de password a los datos encriptados. Tenga en cuenta que la aplicación lectora solo trabajará en dispositivos almacenamiento formateados con el sistema de archivos exFAT, FAT 16 o FAT32.
Las empresas que ya utilizan el sistema de dominio pueden configurar una política para hacer cumplir la protección obligatoria de BitLocker antes de que los datos se puedan copiar en discos extraíbles, por ejemplo. Controles adicionales pueden incluir la complejidad de contraseñas o imponer el uso de una tarjeta inteligente. En general, BitLocker To Go es una solución de cifrado robusto que ofrece una experiencia perfecta para las organizaciones que solo usan Windows.
Windows XP y Vista: Sistema de archivos cifrados
El Sistema de cifrado de archivos (EFS) es otra manera de cifrar los datos en una unidad de disco extraíble. Aunque ha sido recientemente sustituida por BitLocker en la unidad de disco duro y BitLocker To Go para dispositivos de almacenamiento portátiles, EFS ha estado presente por más tiempo y funciona en versiones anteriores de Windows, incluyendo XP Professional y Vista Business, Enterprise y Ultimate. Habilitar EFS es tan sencillo como elegir la opción "Cifrar contenido para asegurar los datos" en las propiedades generales de una carpeta o archivo.
Por otro lado, el EFS tiene varias peculiaridades oscuras que puede ser difíciles de entender para los usuarios no técnicos. El certificado EFS, por su parte, debe primero ser exportado a otro equipo antes de que pueda ser accesible. Por otra parte, los archivos copiados en una carpeta EFS se cifran automáticamente, pero aquellos que se mueven no lo son. Mover o copiar archivos EFS a un sistema de archivos NTFS no elimina el cifrado, aunque la realización de una copia de seguridad del sistema los preserva.
Mac: El cifrado AES de 256 bits
En la Mac, puede crear una imagen de disco encriptada, protegida por contraseña, hasta con cifrado AES de 256-bit en Mac OS 10.5 o posterior. (Para versiones anteriores de Mac OS, está disponible el cifrado de 128 bits). El archivo .Dmg resultante se puede montar en el Finder para tener acceso a los archivos, y se ampliará automáticamente a medida que se agregan datos. Lo más importante, un archivo de imagen de disco se comporta como un archivo normal y se puede copiar en un dispositivo de almacenamiento portátil.
Sin embargo, hay una desventaja importante en la encriptación a nivel de archivos: Los empleados que son perezosos o tienen prisa pueden saltar fácilmente este paso.
Diferentes opciones de cifrado con el software de terceros
Por una variedad de razones, su empresa puede preferir el software de cifrado de terceros para soluciones específicas de plataforma. Si ese es el caso, tiene varias opciones.
* El TrueCrypt de código abierto, compatible con Windows, Mac OS X y Linux, puede crear imágenes de disco encriptadas que se montan como discos reales. TrueCrypt también encripta particiones enteras o dispositivos de almacenamiento.
* GNU Privacy Guard (GnuPG) es otra conocida herramienta. Es compatible con Mac OS X, Linux, FreeBSD, NetBSD y Windows, aunque no con la versión de 64 bits de Windows.
* Las empresas que buscan ofertas de cifrado de archivos más simples a menudo recurren a la fuerte encriptación de archivos AES incorporada en las utilidades gratuitas de almacenamiento de archivos tales como el gratuito 7-Zip y el comercial WinRAR.
Hardware de auto cifrado: Muchas opciones, compradores cautelosos
Reconociendo que las ofertas de encriptación no son siempre convenientes, los fabricantes de seguridad están comenzando a ofrecer dispositivos de almacenamiento que no requieren software.
El LOK-IT Secure Flash Drive, por ejemplo, utiliza un teclado numérico para la autenticación, la unidad de almacenamiento inicializa y aparece en la computadora host como una unidad normal solo después de ingresar las claves de acceso correctas. Los datos se cifran y descifran de forma transparente en tiempo real a medida que se leen o se copian datos en él, desenchufar la unidad hace que se bloquee nuevamente de forma automática. Otros ejemplos incluyen el Aegis PadLock y la caja de disco duro encriptado StarTech, que utilizan luces LED y una pantalla OLED, respectivamente, para indicar su estado.
Como se puede esperar, el hardware con auto encriptación incorporada cuesta más que el estándar sin encriptación. Dicho esto, el diseño sin software no le permite utilizar el hardware de auto-encriptación sin tener un sistema operativo específico en cuenta. Por otra parte, estos dispositivos repelen los ataques de fuerza bruta mediante el borrado de la clave de descifrado después de un número predeterminado de errores, haciendo que los datos restantes no sean nada más que garabatos.
Las empresas deben saber que no todas las implementaciones de hardware con auto-cifrado son iguales. Se ha encontrado que algunos dispositivos de cifrado de hardware implementan una pseudo encriptación no confiable o despliegan una revisión de password errónea. Normalmente no hay forma de separar los productos falsos de los reales, desafortunadamente. Aunque es seguro decir que comprar hardware en un mercado de pulgas nocturno o de un vendedor de reputación desconocida en eBay no es una opción inteligente.
La mezcla de cifrado de hardware y software puede ser la mejor medicina
Por último, numerosos productos centrados en negocios utilizan una mezcla de encriptación propietaria de hardware y software personalizado. Uno, la serie Defender de las unidades flash cifradas de Kanguru Solutions, está diseñada para el uso en pequeños negocios y empresas.
Al igual que con el hardware de auto-encriptación antes mencionado, los datos almacenamos en las unidades flash USB Defender están automáticamente encriptados con cifrado AES de 256-bit. Sin embargo, en lugar de confiar en un teclado numérico, la Kanguru Defender utiliza un cliente de software cargado en una porción no cifrada de la unidad de disco para solicitar la contraseña de usuario. Este es transferido a la unidad USB para una verificación de password en el dispositivo, haciendo imposible de eludir el proceso de autenticación.
El cliente de software realiza una doble función, también, sincronizándose con un servidor de backend en busca de las políticas más recientes como la expiración del password, el número máximo de intentos de password y el mínimo de complejidad de la clave. Las políticas que ofrecen acceso a la unidad flash USB Defender en ausencia de conectividad a Internet también pueden ser configuradas.
La estrategia de cifrado no siempre viene lista para usar
El cifrado de dispositivos, como toda la tecnología protegida por contraseña, viene con el riesgo inevitable de que los usuarios olviden sus contraseñas. En algunos casos, una gestión apropiada de recuperación de claves o una herramienta de administración de contraseñas pueden mitigar esto. En este sentido, asegúrese de que los datos cifrados no sean la única copia de la información y que una copia de seguridad esté disponible en otros lugares.
No hay duda de que ya existe la tecnología necesaria para proteger los dispositivos de almacenamiento portátiles, aunque la facilidad de uso y el costo puede variar ampliamente. BitLocker To Go es fácil de implementar, pero no es adecuado para entornos de sistemas operativos mixtos. El hardware de auto-cifrado puede ser más cómodo y versátil, pero menudo se ofrece con los dispositivos de gama alta. En última instancia, las empresas deben explorar las opciones con cuidado para determinar la mejor solución para sus necesidades, pero la clave es no dejar los dispositivos de almacenamiento portátiles sin protección.
Paul Mah, CIO (EE.UU.)