Saltar al contenido principal
Technology

Cifrado de discos y archivos

El cifrado completo de discos evita la fuga de datos por la pérdida de un dispositivo, el cifrado a nivel de archivos protege los archivos transferidos a canales que no son de confianza y Crypto Disk almacena datos de usuario cifrados en un archivo aparte.


Protección de los usuarios de Kaspersky Endpoint Security (empresas)

Kaspersky Endpoint Security para Windows ha integrado herramientas de cifrado de datos. Funcionan de acuerdo con las políticas distribuidas de Kaspersky Security Center, la aplicación del administrador para la administración de la infraestructura corporativa protegida mediante productos de seguridad de Kaspersky.

El cifrado completo de disco (FDE)evita la fuga de datos por la pérdida de una portátil o un disco duro portátil. Cuando un disco está cifrado, los usuarios no autorizados no pueden arrancar el equipo ni leer sus datos.

El cifrado a nivel de archivos (FLE)protege los archivos en movilidad cuando se transfieren en canales que no son de confianza. Los usuarios que tienen permitido acceder a archivos protegidos de acuerdo con las políticas de cifrado los ven sin cifrar.

Políticas de cifrado

Los administradores de Kaspersky Security Center pueden establecer políticas de cifrado que activarán el cifrado en equipos corporativos protegidos con Kaspersky Endpoint Security. Las políticas pueden diferir entre los hosts, y los datos de cumplimiento de políticas se agregan en una fuente de informe común visible para los administradores.

También se pueden establecer políticas para dispositivos extraíbles (unidades flash, unidades portátiles, etc.) conectados a un equipo. Por ejemplo, el dispositivo podría bloquearse hasta que el usuario acepte aplicar el cifrado a ese dispositivo o a los tipos específicos de archivos que contiene.

En el cifrado a nivel de archivos, las políticas pueden definir qué archivos se van a cifrar, según la extensión o la ubicación del archivo en un disco. Una vez que se detecta un archivo coincidente en el equipo, se cifra.

Cifrado transparente

El cifrado no interfiere en el flujo de trabajo típico de un usuario: no introduce nuevas aplicaciones ni cambios en la configuración de las ya instaladas. Las políticas se aplican automáticamente.

El cifrado es transparente para las aplicaciones: cuando un usuario se autentica en el sistema operativo, las aplicaciones ven datos de los discos como si no estuvieran cifrados, aunque sí lo estén. El filtro de cifradotransmite datos entre aplicaciones y discos (un filtro de disco para FDE y un filtro de archivos para FLE). Descifra los datos que se transmiten de los discos a las aplicaciones y cifra los datos de vuelta. Los datos se cifran "sobre la marcha", inmediatamente en las operaciones de lectura y escritura, y no hay datos almacenados sin cifrado en el disco, incluso temporalmente.

Para algunas aplicaciones, el cifrado no debería ser tan transparente. Por ejemplo, los procedimientos de copia de seguridad que almacenan una copia de un disco cifrado para conservarla en otro lugar no deben almacenar los datos de copia de seguridad no cifrados. Por lo tanto, la aplicación de copia de seguridad debería copiar el disco en su estado cifrado. En este y otros casos similares, el administrador puede desactivar de manera centralizada el cifrado transparente para aplicaciones específicas.

Mecanismo de cifrado de disco (FDE)

El mecanismo de FDE cifra todos los discos de un equipo. FDE admite:

  • Cifrado de cualquier tipo de disco: HDD, SSD, unidades flash, etc. En el caso de los dispositivos SSD, FDE se encarga de reducir la cantidad de ciclos adicionales de lectura/escritura, lo que aumenta la vida útil de la unidad.
  • Aceleración de hardware del cifrado (si el procesador del equipo es compatible con AES-NI).
  • UEFI Secure Boot, una tecnología que protege los equipos en el arranque y garantiza que solo se cargue software de confianza, y que el SO y el software se inicien correctamente sin interferencia en otros procesos.

Claves de cifrado.El filtro de cifrado de disco cifra y descifra los datos con una clave de disco. Se crea una clave independiente para cada disco y se almacena en él en tres copias cifradas. Incluso si el disco está dañado y una copia de la clave se destruye, se puede acceder al disco con otra copia. Si las tres copias clave del disco están dañadas, el acceso al disco puede restaurarse con la copia almacenada en Kaspersky Security Center. Para ello, cuando se crea una clave de disco, su copia se envía de forma segura a Kaspersky Security Center. Las claves nunca se almacenan sin cifrar en el disco.

Autenticación de usuario y carga del sistema operativo desde un disco cifrado.La clave de disco almacenada en el disco queda disponible para el filtro de cifrado después de la autenticación de un usuario. Un usuario puede autenticarse con una contraseña, un token USB o una tarjeta inteligente. Después de realizar la autenticación correctamente, el sistema operativo puede arrancar desde el disco cifrado.



Aplicación de políticas de cifrado en un equipo.Cuando se aplica una política de cifrado en un equipo, se inician dos procesos:

  • El cifrado sobre la marchaestá activado permanentemente. Esto garantiza que todos los datos escritos en el disco se cifren desde ese momento. Para ello, el filtro de cifrado de disco intercepta todos los procesos de lectura/escritura en el disco.
  • Se inicia el proceso de cifrado de disco, iniciando el cifrado total de los discos del equipo. Cuando se completa, la política de cifrado de disco se aplica en todo el equipo. El cifrado del disco puede tardar varias horas.

Durante el cifrado del disco, los usuarios pueden trabajar como de costumbre, suspender el equipo o apagarlo: cuando se enciende de nuevo, el cifrado se reanuda. El proceso también funciona correctamente en caso de fallos (por ejemplo, corte de energía, fallo del sistema operativo). El diseño de cifrado a prueba de fallos garantiza que todos los datos terminarán cifrándose.

Acceso a archivos cifrados (FLE)

Acceso con Kaspersky Endpoint Security.Cuando un usuario se autentica en el sistema operativo, las aplicaciones del equipo que se ejecutan en nombre del usuario obtienen el acceso a los archivos cifrados, de acuerdo con las políticas de cifrado.

Para que otros usuarios accedan a los archivos cifrados, el agente host de Kaspersky Endpoint Security solicita las claves de descifrado necesarias desde Kaspersky Security Center. Por ejemplo, si otro usuario cifró un archivo enviado por correo electrónico, el host del destinatario solicita y recibe una clave de Kaspersky Security Center (si las políticas permiten el acceso). Esta clave funciona para acceder a este archivo y a otros archivos cifrados en el mismo disco lógico de dicho usuario. La clave se guarda en la caché, por lo que no es necesario solicitar una nueva clave cada vez que se recibe un archivo cifrado en el mismo disco del mismo usuario.

Si no hay conexión a Internet, el destinatario puede obtener una clave de Kaspersky Security Center mediante el intercambio estándar de claves seguras de respuesta de desafío a través de canales abiertos (por ejemplo, un teléfono). Simplemente, envía un código de desafío generado y luego recibe el código de respuesta.

Acceso sin Kaspersky Endpoint Security.Si esto lo permiten las políticas de cifrado, los usuarios pueden configurar sus dispositivos, de modo que se pueda acceder a los archivos cifrados de estos dispositivos en equipos sin Kaspersky Endpoint Security, mediante autorización por contraseña. Cuando los usuarios configuran dicho dispositivo con Kaspersky Endpoint Security:

  • La aplicación Gestor de archivos portátiles de Kaspersky se copia en el dispositivo. Almacena de forma segura las claves para acceder a los archivos y cifrarlos o descifrarlos.
  • El usuario crea una contraseña para acceder a los archivos de este dispositivo.

Cuando un usuario conecta un dispositivo y lo autoriza en Gestor de archivos portátiles, los archivos cifrados estarán disponibles para leerse y editarse. Los usuarios también pueden cifrar nuevos archivos en el dispositivo.

Protección de los usuarios de Kaspersky Total Security (consumidor)

Crypto Disk es un subsistema de Kaspersky Total Security que protege los datos de un usuario almacenados con cifrado.

Con Crypto Disk, los usuarios crean un disco de cifrado virtual almacenado como un archivo independiente. Se accede al disco con una contraseña que se asigna cuando se crea el disco. Después de la autorización, el disco se monta como una unidad local (por ejemplo, "E:\"). Un usuario puede transferir un archivo con el disco cifrado a otros usuarios a través de dispositivos, correo electrónico, repositorios compartidos y en la nube, y otorgar a otros usuarios acceso enviándoles la contraseña.

El disco no se cifra con la contraseña en sí, sino con una clave generada automáticamente, que está disponible cuando el usuario se autentica. Por tanto, un usuario puede cambiar una contraseña sin necesidad de volver a cifrar todo el disco virtual.

Módulo de cifrado

FDE, FLE y Crypto Disk utilizan el módulo de cifrado que utiliza el algoritmo de cifrado AES-256 en el modo XTS. La biblioteca de cifrado está certificada con:

Productos relacionados

Kaspersky Endpoint Security for Business

Protección adaptativa contra amenazas avanzadas dirigidas a sus endpoints y usuarios
Más información

Kaspersky Total Security

Toda la seguridad que necesitas en un solo producto
Más información

WHITEPAPER

Protecting Sensitive Data with Kaspersky...


Más información