Un artículo reciente de The Intercept revela que Microsoft está almacenando automáticamente claves de cifrado de dispositivos en la nube bajo ciertas circunstancias.
Device Encryption es una función de cifrado incorporada que estuvo disponible por primera vez con el sistema operativo Windows 8 de Microsoft. La diferencia principal entre Device Encryption y Bitlocker es que Bitlocker es configurable, mientras que Device Encryption no lo es.
Además, la funcionalidad completa de Bitlocker sólo está disponible en las ediciones Pro y Enterprise de Windows, mientras que Device Encryption está disponible en todas.
La encriptación de dispositivos se activa automáticamente si el equipo tiene el chip de encriptación necesario y si se utiliza una cuenta de Microsoft para iniciar sesión en el equipo. Si ese es el caso, la clave de encriptación se almacena automáticamente en la nube. Si el equipo no está conectado a un dominio de Windows, se envía a Microsoft y, si lo está, se almacena en los servidores de la empresa.
Los usuarios de Windows que decidan no crear cuentas de Windows durante la instalación o después, no tendrán activado el cifrado de dispositivos.
No hay forma de evitar que Windows envíe la clave de cifrado a la nube si el equipo cumple los requisitos.
Por qué se hacen copias de seguridad de las claves en la nube
Probablemente se pregunte por qué Microsoft realiza copias de seguridad de las claves en la nube de forma automática. La respuesta es la conveniencia, ya que los usuarios pueden hacer uso de la clave respaldada en la nube para recuperar el acceso a los archivos del sistema. Esta puede ser la única manera si no existe una copia de seguridad local de la clave.
Sin embargo, Microsoft podría manejar esto de manera diferente. Por ejemplo, podría proporcionar a los usuarios una opción para hacer una copia de seguridad de la clave localmente o en la nube, algo que hace Apple, por ejemplo.
Comprobar las claves de cifrado almacenadas en la nube
Aunque no puede impedir que Windows transfiera las claves a la nube, puede comprobar con su cuenta de Microsoft si las claves están guardadas en la nube y, si es así, eliminarlas.
- Cargue https://onedrive.live.com/recoverykey en el navegador de su elección.
- Inicie sesión en su cuenta de Microsoft para acceder al servicio.
- Microsoft enumera en la página todas las claves de recuperación almacenadas en esa cuenta. Si obtiene «No tiene ninguna clave de recuperación de BitLocker en su cuenta de Microsoft», significa que no hay claves almacenadas. Este es el caso, por ejemplo, si el ordenador no tiene un chip de encriptación o si se utiliza una cuenta local para iniciar sesión en el PC.
- De lo contrario, puede eliminar la clave de recuperación en el sitio. Se sugiere hacer una copia de seguridad de la clave antes de hacerlo.
Estar en el lado seguro
Microsoft observó que la clave de cifrado y las copias de seguridad se eliminan cuando los usuarios las eliminan en la página Clave de recuperación.
Aunque esto es tranquilizador, se sugiere crear una nueva clave de cifrado localmente y guardarla también localmente para asegurarse de que nadie pueda descifrar los datos de la unidad utilizando la antigua clave de cifrado.
Aunque el acceso local es necesario para ello, es mejor estar seguro que arrepentirse más tarde.
- Pulse sobre la tecla Windows, escriba bitlocker y seleccione el resultado Administrar BitLocker para abrir la configuración del Cifrado de unidad BitLocker.
- Seleccione «Desactivar BitLocker» junto a la unidad del sistema operativo. Esto descifrará la unidad, lo que puede tardar un poco dependiendo de su tamaño y rendimiento.
- Una vez hecho esto, seleccione «Activar BitLocker».
- Windows le pedirá que realice una copia de seguridad de la clave de recuperación. Puede seleccionar si desea guardarlo en un archivo o imprimir la clave de recuperación. No seleccione Cuenta de Microsoft, ya que volverá a aparecer en la nube si lo hace.
- Seleccione esta opción para encriptar el archivo
