デバイス暗号化の完全ガイド - スマホ・PC のデータを守る

Lectura de 15 min aprox.

¿Qué sucede con los datos de tu smartphone o laptop si lo pierdes? Con el cifrado de dispositivo habilitado, los datos almacenados permanecen protegidos en un estado ilegible incluso si el dispositivo cae en manos de otra persona. Sin cifrado, simplemente extraer el almacenamiento y conectarlo a otro dispositivo hace que todos los datos - fotos, correos, contraseñas, información financiera - sean visibles. Este artículo explica los mecanismos y configuración del cifrado de almacenamiento de iOS/Android, BitLocker de Windows y FileVault de macOS, proporcionando una guía práctica para proteger confiablemente tus datos cuando se pierden dispositivos.

Cifrado de almacenamiento de smartphones

Arquitectura de cifrado de iOS

Todos los iPhones y iPads tienen el cifrado de almacenamiento habilitado por defecto desde iOS 8. El módulo de seguridad de hardware de Apple (Secure Enclave) genera y gestiona claves de cifrado únicas del dispositivo, cifrando todo el almacenamiento con AES-256. El código de acceso configurado por el usuario (o Face ID / Touch ID) funciona como parte de la clave de cifrado, haciendo imposible el descifrado de datos sin el código. Este diseño significa que ni siquiera Apple puede acceder a los datos de un iPhone bloqueado.

La clave para maximizar el cifrado de iOS es la fortaleza del código de acceso. Un código numérico de 4 dígitos ofrece baja resistencia a ataques de fuerza bruta, así que configura al menos 6 dígitos, idealmente un código alfanumérico personalizado. También, habilitar la opción "Borrar datos" (Ajustes > Face ID y código) borra automáticamente los datos del dispositivo después de 10 intentos incorrectos. Siempre habilita el borrado remoto vía "Buscar mi iPhone" para escenarios de pérdida.

Configuración de cifrado de Android

En Android, el cifrado basado en archivos (FBE) está habilitado por defecto en dispositivos con Android 10 y posterior. A diferencia del enfoque de iOS, FBE cifra cada archivo con una clave diferente. Esto permite que algunas funciones como alarmas y notificaciones de llamadas funcionen mientras el dispositivo está bloqueado, mientras los datos personales permanecen protegidos. Sin embargo, dispositivos con Android 9 o anterior, y algunos modelos económicos, pueden tener el cifrado deshabilitado. Verifica el estado actual en Ajustes > Seguridad > Cifrado y habilítalo si está desactivado.

Cifrado de disco de PC

Configuración y operación de Windows BitLocker

BitLocker de Windows es una función de cifrado de disco completo disponible en las ediciones Pro, Enterprise y Education. Funciona con el chip TPM (Trusted Platform Module) para descifrar automáticamente la unidad al inicio, sin afectar el uso diario. Habilítalo desde Configuración > Privacidad y seguridad > Cifrado del dispositivo. Incluso si una laptop con BitLocker habilitado se pierde, leer el contenido de la unidad sin credenciales de inicio de sesión correctas es virtualmente imposible.

El aspecto más crítico al habilitar BitLocker es almacenar de forma segura la clave de recuperación. La clave de recuperación es un número de 48 dígitos necesario cuando el TPM detecta anomalías o ocurren cambios de hardware. El guardado automático en una cuenta de Microsoft es el método más fácil, pero conlleva riesgo si la cuenta de Microsoft es comprometida. Recomendamos redundancia mediante múltiples métodos - guardar en una unidad USB almacenada en una caja fuerte, imprimir en papel guardado en un lugar seguro, etc. Ten en cuenta que perder la clave de recuperación significa que ni tú puedes acceder a tus datos.

Configuración de FileVault de macOS

FileVault de macOS cifra todo el almacenamiento del Mac con XTS-AES-128. En Macs con Apple Silicon (M1 y posterior), el cifrado a nivel de hardware siempre está activo, y FileVault sirve para vincular ese cifrado a la contraseña de inicio de sesión del usuario. Habilita FileVault desde Ajustes del Sistema > Privacidad y Seguridad > FileVault. El proceso de cifrado inicial se ejecuta en segundo plano, permitiéndote continuar el trabajo normal.

FileVault ofrece dos métodos de recuperación: recuperación por cuenta de iCloud y clave de recuperación (24 caracteres alfanuméricos). Elegir recuperación por iCloud permite desbloquear el disco con la contraseña de Apple ID, pero conlleva riesgo si el Apple ID es comprometido. Elegir una clave de recuperación requiere almacenarla de forma segura. En cualquier caso, la operación adecuada como gestión de claves de cifrado en reposo es esencial.

Cómo funciona el cifrado y protección ante pérdida

Por qué el cifrado protege los datos

Un almacenamiento cifrado aparece como nada más que datos sin sentido sin la clave correcta (código de acceso, contraseña, autenticación biométrica). Incluso si un atacante extrae físicamente el almacenamiento y lo conecta a otra computadora, no puede descifrar los datos cifrados. Romper el cifrado AES-256 moderno por fuerza bruta requeriría más tiempo que la edad del universo incluso con supercomputadoras actuales. En otras palabras, los dispositivos correctamente cifrados mantienen la seguridad de datos incluso cuando son robados físicamente.

Sin embargo, el cifrado solo es efectivo cuando el dispositivo está bloqueado. Si el dispositivo es robado mientras está desbloqueado (ej: una laptop tomada mientras te alejas en un café), el cifrado no proporciona protección. Por lo tanto, configurar un tiempo de bloqueo automático corto (1-2 minutos), crear el hábito de bloquear manualmente al alejarse (Windows: Win+L, macOS: Ctrl+Cmd+Q) y configurar una contraseña de inicio de sesión fuerte son igualmente importantes que el cifrado. El cifrado es la "última línea de defensa" - logra protección completa solo cuando se combina con hábitos de seguridad diarios.

Cifrar unidades externas y copias de seguridad

No olvides cifrar HDDs/SSDs externos y datos de respaldo además del dispositivo mismo. Crea respaldos de Time Machine con la opción de cifrado habilitada, y aplica BitLocker To Go a las unidades de respaldo de Windows. Hacer respaldos en unidades externas sin cifrar significa que los datos pueden filtrarse vía respaldos sin importar qué tan bien esté cifrado el dispositivo principal. Al usar respaldos en la nube, verifica que el servicio proporcione cifrado en reposo.

Para soluciones de almacenamiento cifrado portátil, los SSDs externos cifrados (Amazon) proporcionan protección a nivel de hardware para datos en movimiento.