Por qué Microsoft almacena la clave de cifrado de dispositivos de Windows 10 en OneDrive

Microsoft encripta automáticamente su nuevo dispositivo de Windows y almacena la clave de encriptación de dispositivos de Windows 10 en OneDrive cuando inicia sesión con su cuenta de Microsoft. Este post habla de por qué Microsoft hace esto. También veremos cómo eliminar esta clave de cifrado y generar su propia clave, sin tener que compartirla con Microsoft.

Clave de cifrado de dispositivos de Windows 10

Si compró un nuevo equipo con Windows 10 e inició sesión con su cuenta de Microsoft, Windows cifrará su dispositivo y la clave de cifrado se almacenará automáticamente en OneDrive. Esto no es nada nuevo en realidad y ha estado presente desde Windows 8, pero recientemente se han planteado algunas cuestiones relacionadas con su seguridad.

Para que esta función esté disponible, el hardware debe ser compatible con el modo de espera conectado que cumpla los requisitos del Kit de certificación de hardware de Windows (HCK) para los sistemas TPM y SecureBoot en ConnectedStandby . Si su dispositivo es compatible con esta función, verá la configuración en Configuración > Sistema > Acerca de. Aquí puede desactivar o activar el Cifrado de dispositivos.

Por qué Microsoft almacena la clave de cifrado de dispositivos de Windows 10 en OneDrive 1

El Cifrado de disco o de dispositivo en Windows 10 es una característica muy buena que se activa de forma predeterminada en Windows 10. Lo que hace esta función es cifrar el dispositivo y luego almacenar la clave de cifrado en OneDrive, en su cuenta de Microsoft.

El cifrado del dispositivo se activa automáticamente para que el dispositivo esté siempre protegido, dice TechNet . La siguiente lista describe la forma en que esto se logra:

  1. Cuando se completa una instalación limpia de Windows 8.1/10, el equipo se prepara para su primer uso. Como parte de esta preparación, el cifrado de dispositivos se inicializa en la unidad del sistema operativo y las unidades de datos fijas en el ordenador con una clave clara.
  2. Si el dispositivo no está unido a un dominio, se requiere una cuenta de Microsoft a la que se le hayan concedido privilegios administrativos en el dispositivo. Cuando el administrador utiliza una cuenta de Microsoft para iniciar sesión, se elimina la clave de borrado, se carga una clave de recuperación en una cuenta de Microsoft en línea y se crea el protector TPM. Si un dispositivo requiere la clave de recuperación, el usuario será guiado a utilizar un dispositivo alternativo y navegar a una URL de acceso a la clave de recuperación para recuperar la clave de recuperación utilizando sus credenciales de cuenta de Microsoft.
  3. Si el usuario inicia sesión utilizando una cuenta de dominio, la clave de borrado no se elimina hasta que el usuario se une al dispositivo en un dominio y se realiza una copia de seguridad de la clave de recuperación en los Servicios de dominio de Active Directory.

Así que esto es diferente de BitLocker, donde se requiere que inicie Bitlocker y siga un procedimiento, mientras que todo esto se hace automáticamente sin el conocimiento o interferencia del usuario de la computadora. Al activar BitLocker, se ve obligado a realizar una copia de seguridad de la clave de recuperación, pero tiene tres opciones: Guárdelo en su cuenta de Microsoft, guárdelo en una memoria USB o imprímalo.

Dice un investigador :

Tan pronto como la clave de recuperación abandone el equipo, no tendrá forma de conocer su destino. Un hacker podría haber pirateado su cuenta de Microsoft y puede hacer una copia de su clave de recuperación antes de que tenga tiempo de eliminarla. O Microsoft mismo podría ser hackeado, o podría haber contratado a un empleado deshonesto con acceso a los datos del usuario. O bien, una agencia policial o de espionaje podría enviar a Microsoft una solicitud de todos los datos de su cuenta, lo que la obligaría legalmente a entregar su clave de recuperación, lo que podría hacer incluso si lo primero que hace después de configurar su equipo es eliminarla.

En respuesta, Microsoft tiene esto que decir:

Cuando un dispositivo entra en modo de recuperación y el usuario no tiene acceso a la clave de recuperación, los datos de la unidad quedarán permanentemente inaccesibles. Basándonos en la posibilidad de este resultado y en una amplia encuesta de los comentarios de los clientes, elegimos hacer una copia de seguridad automática de la clave de recuperación del usuario. La clave de recuperación requiere acceso físico al dispositivo de usuario y no es útil sin ella.

Por lo tanto, Microsoft decidió hacer una copia de seguridad automática de las claves de cifrado en sus servidores para garantizar que los usuarios no pierdan sus datos si el dispositivo entra en el modo Recuperación y no tienen acceso a la clave de recuperación.

Por lo tanto, para que esta función sea explotada, un atacante debe poder acceder tanto a la clave de cifrado de la copia de seguridad como al dispositivo físico de su ordenador. Puesto que esto parece una posibilidad muy rara, creo que no hay necesidad de ponerse paranoico al respecto. Sólo asegúrese de que ha protegido completamente su cuenta de Microsoft y deje la configuración de cifrado del dispositivo en sus valores predeterminados.

No obstante, si desea eliminar esta clave de cifrado de los servidores de Microsoft, puede hacerlo de la siguiente manera.

Cómo eliminar la clave de encriptación

No hay forma de evitar que un nuevo dispositivo de Windows cargue la clave de recuperación la primera vez que inicie sesión en su cuenta de Microsoft, pero puede eliminar la clave cargada.

Si no desea que Microsoft almacene su clave de cifrado en la nube, deberá visitar esta página de OneDrive y elimine la clave . A continuación, deberá desactivar la función de cifrado de disco . Tenga en cuenta que si lo hace, no podrá utilizar esta función de protección de datos incorporada en caso de pérdida o robo de su ordenador.

Al eliminar la clave de recuperación de su cuenta en este sitio web, ésta se elimina inmediatamente y las copias almacenadas en sus unidades de copia de seguridad también se eliminan poco después.

La contraseña de la clave de recuperación se elimina inmediatamente del perfil en línea del cliente. A medida que las unidades que se utilizan para la conmutación por error y las copias de seguridad se sincronizan con los datos más recientes, se eliminan las claves, dice Microsoft.

Cómo generar su propia clave de cifrado

Los usuarios de Windows 10 Pro y Enterprise pueden generar nuevas claves de cifrado que nunca se envían a Microsoft. Para ello, primero tendrá que desactivar BitLocker para descifrar el disco y, a continuación, volver a activar BitLocker. Al hacerlo, se le preguntará dónde desea realizar la copia de seguridad de la clave de recuperación del Cifrado de unidad BitLocker. Esta clave no se compartirá con Microsoft, pero asegúrese de guardarla de forma segura, ya que si la pierde, puede perder el acceso a todos sus datos cifrados.

Contenido Relacionado

Deja un comentario