Just Cryptography

Learn Cryptography and Information Security

Home » Blog » Cifrado de información con VeraCrypt en dispositivos de almacenamiento

Cifrado de información con VeraCrypt en dispositivos de almacenamiento

En el presente artículo se explica cómo cifrar la información que se encuentra guardada en el disco duro, memoria USB u otro dispositivo de almacenamiento. Para ello se propone el software Veracrypt y se dan recomendaciones para su empleo. Se explica el funcionamiento del software y se recomiendan buenas prácticas para su empleo.

Cifrado de la información

El cifrado es una de las técnicas destinadas a la protección de la información. Se centra principalmente en lograr la confidencialidad de la misma. Su objetivo es que solo las personas autorizadas puedan acceder a la información que se encuentra protegida. Para acceder al contenido cifrado se utiliza un valor secreto que solo deben conocer las personas autorizadas.

Cuando la información está cifrada no quiere decir que esta oculta. La información cifrada tiene un aspecto aleatorio y es fácil de identificar, pero solo quien conoce la contraseña puede revisarla.

Al cifrar la información almacenada en el disco duro, memoria USB, CD o cualquier dispositivo de almacenamiento se está protegiendo su contenido. En caso de pérdida o robo del medio no se va a poder leer su contenido a menos que conozca la contraseña.

Si se presta el dispositivo sin proveer la clave del cifrado solo se va a poder acceder la información que no se encuentra protegida. Lo mismo ocurre si se sienta otra persona en su Computadora Personal (PC).

Veracrpyt

Para cifrar la información existe una amplia variedad de software. En el presente artículo se propone el uso de veracrypt porque al momento de cifrar brinda opciones como el algoritmo a utilizar. Permite crear contenedores o cifrar particiones enteras. Es gratuito y compatible con varios sistemas operativos. También una vez que se entiende su funcionamiento es muy fácil de utilizar.

La página oficial del proyecto es https://veracrypt.fr/en/Home.html .


En el momento del artículo se encuentra en su versión 1.24 y cuenta con instaladores para Windows, MacOS y Linux. Para explicar su funcionamiento se va a utilizar la versión sobre Windows. En el artículo no se va a explicar el proceso de instalación ya que es muy sencillo y en su página se explica, nos vamos a centrar en las cuestiones criptográficas.

Idea general

Veracrypt es una herramienta que resuelve problemas complejos pero su funcionamiento es muy sencillo.

  1. Permite crear contenedores criptográficos para poner dentro la información. Esa información queda cifrada y solo se puede acceder si se tiene la llave del contenedor. Un contenedor puede ser un fichero, una partición o el disco duro completo. El tamaño del contenedor lo define el usuario en función del volumen de información que desee proteger. Los algoritmos para cifrar también los selecciona el usuario.
  2. Para trabajar con la información se abre el contenedor a través de la propia herramienta veracrypt utilizando la clave definida por el usuario en el momento de crear el contenedor. Luego el sistema operativo reconoce el contenedor como si se hubiera conectado un disco duro nuevo en la PC. El trabajo con la información es similar a si se estuviera trabajando con la información almacenada en un disco externo o una memoria USB. Para ello se utiliza el explorador del sistema operativo.
  3. Cuando se termina de trabajar se desmonta el contenedor con el veracryt y el disco desaparece quedando protegida la información dentro.

Crear un contenedor cifrado con Veracrypt

Para crear un contenedor cifrado da clic en el botón “Crear Volumen”.

Se muestra la siguiente pantalla donde aparecen 3 opciones para escoger el tipo de volumen a crear:

Opciones para escoger el tipo de volumen a crear
  • Crear un contenedor de archivo cifrado: Permite crear un fichero a elección del usuario, definirle le tamaño y almacenarlo en el disco duro. Ese fichero va a ser el contenedor cifrado.
  • Cifrar partición/partición secundaria: Permite cifrar toda la información que una partición del disco duro que no sea la del sistema operativo. Se puede formatear la partición y luego cifrarla o se puede cifrar la partición manteniendo la información que está contenida en esta.
  • Cifrar la partición/unidad del sistema entera: Permite cifrar la partición donde se encuentra instalado el sistema operativo.

Crear un contenedor de archivo cifrado

Seleccione la 1ra opción y presiones “Siguiente”.

tipo de volumen a crear
  • Volumen Veracrypt común

El contenedor veracrypt común es un contenedor protegido por una contraseña.

  • Volumen veracrypt oculto

Esta es una de las opciones más interesantes que ofrece la herramienta Veracrypt. Permite crear un contenedor cifrado oculto dentro de otro contenedor cifrado existente.

El veracrypt oculto utiliza un contenedor común y oculta información dentro de este utilizando para ello otra contraseña. Cuando se va a utilizar el contenedor creado en dependencia de la contraseña que se escriba se va a abrir el contenedor común o el oculto.

Lo genial de esta solución es que colocar un contenedor oculto no modifica el tamaño ni la capacidad de almacenamiento del contenedor común. Tampoco es posible identificar técnicamente si un contenedor veracrypt tiene un contenedor oculto o no. Eso solo lo sabe el usuario que creó el contenedor.

En la documentación se explica que un contenedor oculto se puede utilizar en caso de que el usuario sea obligado a revelar la contraseña. Puede dar la del veracrypt común y ocultar la información en el veracrypt oculto. Como no necesariamente tiene que existir un contenedor oculto y no es posible definir si existe o no a menos que se sepa la contraseña del contenedor oculto, quien obtiene la contraseña por la fuerza no podrá definir si tiene acceso a toda la información que hay en el contenedor o solo la que el usuario está dispuesto a mostrar.

Crear volumen Veracrypt común

Nombre y ruta del fichero:

Si se selecciona “volumen veracrypt común” lo próximo será definir el nombre y la ruta de donde se desea crear el fichero. Al fichero se le puede colocar cualquier extensión, por lo cual en dependencia del tamaño se puede mezclar con otros ficheros existentes.

Por ejemplo: “.iso” para que el sistema lo reconozca como la imagen de un disco, “jpg” una foto, “.rar” para tome el aspecto de un compactado, etc… Si otra persona trata de abrirlo sin conocer que es un contenedor veracrypt mostrará un error como si el fichero se encontrara dañado.

Algoritmo de cifrado a utilizar:

Al presionar siguiente, el software pedirá que seleccione el algoritmo a utilizar. Para ello muestra varios algoritmos con combinaciones de estos.

Pantalla para seleccionar el algoritmo de cifrado a utilizar

Si selecciona AES el contenedor será cifrado con el algoritmo “AES” y si selecciona “AES (Twofish)” cada bloque será cifrado primero con el Twofish y el resultado con el AES. A ese modo de uso se le conoce como cifrado en cascada. En el artículo “AES y GOST: Criptografía Simétria Moderna” se explica y compara el funcionamiento de varios algoritmos de cifrado en bloque.

Para seleccionar el o los algoritmos debe tener en cuenta que combinar varios algoritmos aumenta la seguridad del cifrado pero también requiere más procesamiento, por lo cual el descifrar tomará más tiempo.

Recomiendo utilizar los algoritmos que resultaron finalistas en el concurso del AES que son el AES, el Twofish y Serpent.

Sobre la cantidad de algoritmos a combinar depende del tamaño del volumen y los recursos de la PC. Para contenedores de algunos Gigas utilizar combinaciones de 3 algoritmos no debe provocar mucho retardo. En particiones secundarias de 1 Tera he utilizado combinaciones de 2 algoritmos y toma algunos segundos descifrar. Para la del Sistema Operativo generalmente utilizo un solo algoritmo porque esa es una de las que más se demora en descifrar.

Tamaño del volumen

El tamaño del volumen es fácil de definir que el software permite seleccionar el tamaño y el tipo de unidad en que lo está expresando, por lo cual no es necesario realizar cálculos.

Seleccionar el tamaño del volumen

Aquí es importante tener que el contenedor debe ser un poco más grande que el espacio que requiere la información que desea almacenar.

Contraseña del volumen

Establecer contraseña para el volumen

Veracrypt permite combinar hasta 3 tipos de contraseñas para proteger un volumen cifrado.

  • Contraseña: La contraseña propiamente dicha es una frase o palabra secreta. Se recomienda que se utilice al menos 20 caracteres y se realicen combinaciones de mayúsculas, minúsculas letras números y “caracteres raros” como ($%*/ con el objetivo de hacerla resistente a ataques de fuerza bruta o de diccionario.
  • Archivo llave: El archivo llave es un archivo elegido por el usuario. El software utiliza el contenido del archivo como contraseña. Para poder abrir el contenedor es necesario tener el archivo. Funciona de forma similar a poseer una tarjeta. Hasta el momento es necesario conocer una contraseña secreta y poseer un archivo que puede estar almacenado en una memoria USB.
  • Usar PIM: El PIM es un valor numérico que escoge el usuario y también es secreto. El PIM aumenta la seguridad de la contraseña. La longitud aceptada depende de la longitud de la contraseña.

Combinar la contraseña con un archivo llave es una buena técnica porque combina dos métodos de autenticación. Un valor que “solo el usuario conoce” con un valor que “solo el usuario tiene”. En este sentido un atacante tendría que descubrir la contraseña y tener una copia del fichero llave.

Es importante tener en cuenta que si el fichero es modificado o se borra no se va a poder acceder al contenedor cifrado aunque se tenga la contraseña, lo mismo ocurre si se le olvida la contraseña.

Formato del Volumen

Formato del volumen

En dependencia del tamaño del contenedor y el sistema operativo que se esté utilizando el software va a preguntar el formato que desea utilizar para crear el volumen.

En este punto hay que analizar varios aspectos:

  • Si se va a crear en un dispositivo extraíble que va a conectarse en equipos con sistemas operativos diferentes es una buna practica utilizar un formato compatible con todos que puede ser FAT o exFAT. Recomiendo exFAT porque permite copiar ficheros mayores de 4 Gigas, pero si se van a copiar solo documentos de texto o ficheros pequeños entonces puede seleccionar FAT ya que es un formato soportado prácticamente por cualquier sistema operativo.
  • Si se va a utilizar solo en equipos de cómputo con el mismo sistema operativo entonces recomiendo formatearlo en el formato utilizado por ese sistema. En el caso de Window recomiendo NTFS y en Linux ext4. No he utilizado veracrypt en MacOS pero también debe dar opciones de formato nativas del sistema operativo.

En el momento de formatear es importante mover el curso aleatoriamente sobre la ventana del veracrypt hasta que la barra inferior se ponga verde. El software genera un número aleatorio que utiliza para el cifrado y para generarlo utiliza entre otros valores la posición del mouse.

El tiempo que toma formatear el volumen depende del tamaño del mismo. Puede tomar algunos segundos o varias horas. Durante ese tiempo es importante no apagar el equipo ni que se interrumpa su alimentación de corriente. Recomiendo realizar el proceso conectado al fluido eléctrico aunque se esté utilizando una laptop.

Crear volumen Veracrypt oculto

En la mayoría de los aspectos crear un veracrypt oculto es similar a crear un veracrypt común. El software ofrece los mismos algoritmos, los mismos formatos y el proceso funciona de forma similar. Por ese motivo los temas explicados en la creación del veracrypt común no volverán a ser explicados en la creación del veracrypt oculto.

La primera diferencia que va a encontrarse al crear un veracrypt oculto le va a solicitar que escoja si desea utilizar el “Modo normal” o el “Modo directo”.

Seleccionar el modo: normal o directo

Modo normal

El “Modo normal” primero crea un contenedor veracrypt ejecutando los mismos pasos que cuando se crea un volumen veracrypt común. Luego vuele a repetir el proceso para crear el contenedor oculto dentro del anteriormente creado.

Modo directo

El “Modo directo” permite crear un veracrypt oculto directamente en un contenedor veracrypt ya existente. Por ese motivo primero le pide que seleccione el contenedor veracrypt a utilizar. Luego la contraseña del contenedor veracrypt seleccionado y si es correcta solicita los datos para el veracrypt oculto de la misma forma que se realiza para un contenedor veracrypt normal.

El veracrypt oculto siempre va tener un poco menos de espacio disponible que el veracrypt normal que lo contiene. Ofrece las opciones de configuración en cuanto a algoritmos, formato y contraseñas como un contenedor independiente. Quiere decir que se pueden utilizar algoritmos y formatos diferentes en ambos contenedores.

Cifrar una partición/unidad secundaria

Para cifrar una partición secundaria debe seleccionar “Cifrar una partición/unidad secundaria”. Luego preguntará si desea crear un veracrypt común u oculto al igual que sucede cuando desea hacer un contenedor. Le pedirá que seleccione la partición a cifrar del listado de particiones. Al hacerlo debe estar seguro de uno estar seleccionando la del sistema operativo.

Hay un paso importante en el caso de las particiones y es que pregunta si desea crear un volumen cifrado y formatearlo o si desea conservar los datos.

Como su nombre lo indica si escoge la 1ra opción la partición será formateada antes de cifrar. Quiere decir que perderá los datos. La segunda mantiene los datos almacenados en la partición después de haber sido cifrada.

Siempre que pueda utilice la 1ra opción ya que el cifrado toma menos tiempo.

Si tiene datos en la partición puede realizar una copia en otra partición o un dispositivo externo, cifrarla formateándola y luego copiarlos nuevamente hacia la partición cifrada. De no poder hacerlo entonces seleccione la segunda opción.

Cifrar la partición/unidad del sistema entera

Esta opción es parecida a cifrar una partición secundaria pero al tratarse de la partición del sistema operativo se toman medidas de seguridad adicionales para proteger el proceso de cifrado.

En la preparación del cifrado le va a solicitar que conecte una memoria USB para crear un dispositivo de recuperación. Lo que va a suceder es que veracrypt prepara esa memoria como una USB booteable que se puede utilizar para revertir el cifrado de la partición del sistema.

Si ocurre un error en el proceso de cifrado o no funciona correctamente puede levantar el veracrypt utilizando la memoria y descifrar la partición del sistema operativo para que quede tal y como estaba antes de cifrar.

En versiones anteriores de veracrypt permite crear un CD booteale o en caso de no tener lector de CD permite crear una imagen ISO. Si no tiene una USB el software permite crear una copia de los ficheros que usted debe utilizar para posteriormente crear la memoria booteable si lo necesita.

Montar contenedor veracrypt

Montar el contenedor veracrypt es muy sencillo ya sea que haya cifrado una partición o haya utilizado un fichero.

  1. Seleccione la letra donde lo desea montar del listado que letras disponibles que muestra el software en la interfaz.
  2. Si es un fichero presione “Seleccionar Archivo” y busque el fichero creado. Si es una partición presione “Seleccionar Dispositivo” y escoja la partición cifrada.
  3. Presione “Montar” e introduzca la contraseña del contenedor cifrado.
  4. Espere unos segundos y cuando termine de montarla, si la contraseña es correcta parecerá una partición en la letra donde escogió montarla. Esa partición es la es el contenedor descifrado para que usted acceda a su información.

Cuando termine de trabajar seleccione en el veracrypt la partición montada y presione “Desmontar”.

Esa partición dejará de verse en el explorador del sistema operativo.

Recomendaciones finales

  • Una buena práctica es crear una copia de la cabecera del contenedor cifrado. Esa cabecera contiene información técnica que se utiliza para poder cifrar y descifrar el contenedor. Si se daña la cabecera el contenedor va a ser ilegible. Restaurar la cabecera puede hacer que vuelva a funcionar. Esa opción se encuentra en “Herramientas->Copia de Seguridad de Cabecera del Volumen”.
  • Crear contenedores muy grandes o cifrar particiones enteras puede implicar cierto riesgo. Si se cifra una partición y se te dañan algunos de los sectores de la partición es posible que no puedas descifrarla y por lo tanto no pueda acceder a la información contenida en esta. Si tiene varios contenedores y se dañan algunos sectores solo no va a poder acceder a los datos almacenados en el contenedor afectado. Mi recomendación es crear varios contenedores en vez de cifrar la partición completa.
  • Siga las recomendaciones que da el programa en cada uno de sus pasos, por ejemplo usar contraseñas de 20 caracteres. Una forma fácil de memorizar una clave de ese tamaño es utilizar una frase de varias palabras que no se le olvide.
  • La seguridad de todo el sistema depende de las contraseñas. No deje la contraseña en un papel cerca de equipo cifrado y no la anote en un lugar donde se tenga fácil acceso. Siempre que sea posible trate de memorizarla.
,

Recent posts