OPSEC52 / Semana 8 — Cifrado de disco completo
Siete semanas de correos, teléfonos, perfiles de navegador y bóvedas separados viven todos en un mismo trozo de silicio. Si alguien apaga tu portátil, se lo lleva y el disco no está cifrado, nada de tu compartimentación importa: lo leen todo en reposo, incluido el gestor de contraseñas que tanto cuidaste. El cifrado de disco completo es el único control que convierte un dispositivo incautado de “lee toda mi vida” en “aquí solo hay ruido aleatorio”. Es gratis, está integrado en todos los sistemas operativos, y la mayoría lo deja a medias.
Modelo de amenaza: incautación física en una frontera, un control o una detención con la máquina apagada o suspendida; robo; un taller o un adversario de hotel clonando el disco; recuperación forense de un dispositivo descartado o vendido; swap, hibernación y copias en la nube sin cifrar que filtran texto plano aunque el volumen principal esté cifrado; y ataques cold-boot / DMA contra una máquina encendida y desbloqueada.
El cifrado en reposo es el suelo, no el techo
Todos los demás pilares de esta serie protegen los datos en movimiento: quién ve tu tráfico, tu identidad, tus inicios de sesión. El cifrado de disco completo (FDE) protege los datos en reposo: los bytes en el disco cuando el dispositivo está apagado. Sin él, un adversario que obtiene posesión física se salta todos los demás controles que construiste. No necesita la contraseña maestra de tu gestor: lee directamente el archivo de la bóveda, tus perfiles de navegador, tu historial de shell, la caché de tu monedero Monero, del propio disco. El FDE es el suelo sobre el que se apoya el resto de tu OPSEC. Si falta, todo lo de encima es teatro.
La distinción “apagado vs bloqueado” que lo decide todo
El FDE solo defiende un dispositivo totalmente apagado (o hibernado a un disco cifrado). Este es el detalle que casi todo el mundo confunde:
- Apagado → la clave no está en memoria. El disco es genuinamente opaco. Es el estado que quieres en una frontera o cada vez que el dispositivo deja tu control.
- Bloqueado / suspendido (sleep) → la clave de cifrado sigue en la RAM. Una pantalla de bloqueo es un aviso de interfaz, no cifrado. Un adversario bien equipado puede extraer la clave de la memoria (cold-boot, DMA por Thunderbolt/PCIe) o simplemente esperar a que la desbloquees.
Regla práctica: si puedes perder el control del dispositivo, apágalo, no solo cierres la tapa. Configura un autobloqueo corto y prefiere “hibernar” o apagado total antes que “suspender” en cualquier umbral donde puedan quitártelo.
Actívalo — ya está ahí
- Windows: BitLocker (Pro/Enterprise) o Cifrado de dispositivo (Home). Verifica que esté realmente activo y que la clave de recuperación no se deposite automáticamente en tu cuenta de Microsoft si esa cuenta es de nombre real.
- macOS: FileVault. Un interruptor. Guarda tú la clave de recuperación, no en iCloud.
- Linux: LUKS, idealmente elegido en la instalación (raíz + swap cifrados). Cifrar solo
/homedeja registros, swap y temporales en claro. - Android / iPhone: activado por defecto desde hace años, pero su fuerza se reduce a la de tu bloqueo de pantalla. Un PIN de 4 dígitos es forzable; usa una frase alfanumérica larga.
Las fugas que sobreviven al “disco cifrado”
El FDE del volumen principal no es todo el trabajo. El texto plano se escapa por las costuras:
- Swap e hibernación — si no están dentro del volumen cifrado, los secretos paginados desde la RAM caen al disco en claro. Cifra el swap; cifra el archivo de hibernación.
- Copias en la nube — un portátil cifrado que sincroniza a una copia sin cifrar (o legible por el proveedor) solo movió el texto plano a otro sitio. Revisa qué se respalda.
- Discos externos y USB — el portátil cifrado más un disco de respaldo sin cifrar equivale a un disco de respaldo sin cifrar. Cifra también los medios extraíbles (VeraCrypt es multiplataforma para esto).
- La propia frase de acceso — el FDE convierte todo tu dispositivo en un único secreto. Una contraseña de arranque débil lo deshace. Debe ser larga, única y nunca reutilizada (ver Semana 7).
Ejercicios de esta semana
- Confirma que el FDE está realmente activo — no “soportado”, activo — en cada dispositivo: portátil, teléfono, tableta.
- Saca la clave de recuperación de la nube del fabricante si está depositada en una cuenta de nombre real; guárdala en tu gestor de contraseñas o en papel en una caja fuerte.
- Pon la frase de arranque / inicio de sesión como una cadena larga y única. Un disco bloqueado con contraseña débil es un badén, no un muro.
- Cifra tus copias de seguridad y medios USB — la copia más débil fija tu nivel real de seguridad.
- Practica el hábito de frontera: apagado total, no suspensión, siempre que el dispositivo pueda salir de tus manos.
El cifrado de disco completo no detendrá una máquina encendida y desbloqueada, ni vencerá a una llave inglesa que te obligue a teclear la frase. Pero convierte el ataque más común del mundo real — “consiguieron el dispositivo” — de un compromiso total en un encogimiento de hombros. Todo lo demás que construiste en esta serie solo se sostiene si este está activo.
Curado por Cyber Satoshi