La seguridad de las soluciones de cifrado depende de la capacidad del
sistema de mantener protegidas las claves utilizadas. En Windows 10, donde el
cifrado del disco en muchos casos es activado como estándar, las claves son
enviadas a Microsoft, probablemente sin que los usuarios siquiera se enteren.
el procedimiento es habilitado la primera vez que un PC es iniciado.
La situación es descrita por la publicación The Intercept, que la compara con un chip distribuido en la década de 1990 por la agencia nacional de seguridad de Estados Unidos, NSA, entre fabricantes de teléfonos móviles con soporte para cifrado. Debido a que la NSA tenía en su poder las claves de cifrado utilizadas,el chip funcionaba como una eficaz puerta trasera. El chip en cuestión fue denominado the Clipper Chip.
A partir de Windows 8, Microsoft ofrece a los usuarios la posibilidad
de utilizar una cuenta de Microsoft para conectarse al PC, como una alternativa
a la cuenta local, o una cuenta en el dominio de una empresa. Debido a que la
utilización de la cuenta de Microsoft es la opción estándar, esta es utilizada
en un gran número de computadoras de consumidores. Se trata, entonces, de una
cuenta en la nube de Microsoft, a la que es posible tener acceso mediante todos
los dispositivos activados por el usuario. En la mayoría de los casos, esta
funcionalidad es ventajosa ya que permite la sincronización de datos y
preferencias independientemente del dispositivo utilizado.
Cifrado del disco
- Según The Intercept, Windows 10 automáticamente cifra el disco duro si el usuario se conecta con una cuenta de Microsoft. Esto hace que el contenido del disco duro no pueda ser leído, a menos que el usuario esté conectado. Lo mismo ocurre si el usuario se conecta mediante una cuenta asociada a un dominio empresarial.
- En ambos casos, el procedimiento impide que terceros puedan acceder a los contenidos del disco si el usuario no está conectado. Esta es una funcionalidad bienvenida por la mayoría de los usuarios. Simultáneamente, el sistema habilita una clave de recuperación que puede ser utilizada para acceder al disco cifrado. Esta clave es enviada a los servidores de Microsoft en caso que el usuario utilice una cuenta de Microsoft, y a los servidores de la empresa en caso que se utilice una cuenta asociada a un dominio de ésta.
BitLocker
- The Intercept comenta que este procedimiento no puede ser impedido a menos que se utilice BitLocker, que está disponible únicamente con las versiones Pro y Enterprise de Windows. Con esta herramienta, el usuario puede decidir dónde será almacenada la clave de recuperación; en los servidores de Microsoft, en una memoria USB, o en una hoja impresa. Con todo, BitLocker no es la función activada por defecto, por lo que las claves son enviadas de todas formas a Microsoft, debido a que el usuario está utilizando una cuenta de Microsoft.
- The Intercept cuestiona en qué medida es razonable que las claves de recuperación sean enviadas a Microsoft. La mayoría de los usuarios quizás ni siquiera sabe que el contenido del disco está siendo cifrado.
