Cifrar un disco con VeraCrypt

Daniele Cascone, Tèlepètheia (mod.)

Esta entrada es una guía rápida para el uso de VeraCrypt, un programa open source desarrollado por Idrix a partir de TrueCrypt 7.1a y que está disponible en múltiples plataformas, incluyendo además de Windows, GNU/Linux y Mac, otras como FreeBSD o Raspberry Pi. En nuestro caso haremos uso de la versión 1.25.9 lanzada el 19 de Febrero de 2022 sobre Debian Stable, en julio del 2022. Este programa nos permite cifrar particiones o discos duros enteros pero también crear contenedores dentro de una unidad. También podemos montar y desmontar volúmenes posteriormente y trabajar con ellos como hacemos con el resto de unidades. Este programa aparece mencionado en mi sección de software recomendado, junto con otras aplicaciones que en conjunto, nos pueden ser de utilidad.

Cargar el asistente de configuración

Cuando accedemos al programa nos aparecerá la siguiente interfaz gráfica.

Si pinchamos en el menú Volúmenes veremos como primera opción Crear Nuevo Volumen. Esto nos abrirá el Asistente de Creación de Volúmenes VeraCrypt. Aquí tendremos dos opciones, o bien crear un contenedor de archivos cifrado o cifrar una partición. La primera opción sirve para crear un contenedor cifrado, es decir, una especie de carpeta especial que está dentro de un disco duro. La segunda es para formatear un disco entero, sea éste el disco duro de un PC, un disco secundario, una partición específica o una unidad USB. Si vamos a usar los archivos cifrados en muchas ocasiones la primera opción parece la más viable, pero personalmente siempre me he decantado a cifrar particiones específicas o discos duros externos que por motivos de desplazamiento pueden ser extraviados.

Elijamos una u otra opción, hay otra variable a tener en cuenta. Este cifrado que queremos crear puede construirse bien como un volumen cifrado normal o como un volumen oculto. Normalmente nos decantaremos por la primera. Esto lo que hace es crear una unidad simple cifrada que debe ser montada con su adecuado sistema de seguridad. Los volúmenes ocultos están indicados para mantener una partición oculta cifrada dentro de otra.

Por ejemplo, imaginemos que un ladrón entra en nuestra casa y sabe que ese disco duro contiene información confidencial. Nos sienta a punta de pistola delante de un ordenador y nos obliga a darle la contraseña. Si le damos la contraseña normal, el disco duro se montará y mostrará la información que hay en él, aquello que podemos arriesgar y perder sin levantar sospechas, sin embargo, lo que no sabe el ladrón es que además de ese volumen, hay otro volumen oculto que contiene la información verdaderamente crítica. Si ponemos la contraseña normal, nos montará el volumen cifrado normal, si ponemos la contraseña secundaria, nos dará acceso a un volumen cifrado oculto. Es algo así como tener una caja fuerte con un doble fondo. En la principal tenemos un sobre con 100 euros y la sortija de la abuela, en la otra el verdadero huevo de Fabergé.

Una vez realizada nuestra elección, le damos a siguiente. Ahora nos saldrá el menú de Localización. Como en esta guía hemos seguido el ejemplo de cifrar un disco duro USB, nos aparecerá la localización del dispositivo. En nuestro caso nos indica que la localización se encuentra en /dev/sdc1. Aquí debemos tener mucho cuidado de no equivocarnos de partición ya que posteriormente la unidad se formateará y se perderá toda la información que ésta contiene.

Elegir tipo de cifrado

Ahora toca la parte más importante, que es elegir el tipo de cifrado. Lo más común es usar AES con un algoritmo Hash SHA-512. No obstante también podemos usar Serpent, Twofish, Camellia, Kuznyechik o algunas combinaciones. Lo mismo ocurre con el algoritmo Hash. También podemos elegir Whirlpool o Streebog. En el propio menú nos permite acceder a las páginas de documentación sobre las diferentes opciones y realizar pruebas para ver el resultado y cómo afecta al rendimiento de lectura/escritura.

Yo me he decantado por AES y SHA-512. Después de eso, nos saldrá un menú donde debemos elegir la contraseña. Aquí es importante disponer de una contraseña fuerte de más de 20 caracteres y que incluya letras mayúsculas y minúsculas, números y caracteres especiales. Si optamos por crear un volumen oculto podemos escoger una contraseña más fácil para el volumen principal y una extremadamente robusta para la oculta.

Si le damos al menú Archivos-Clave nos saldrá otro menú secundario donde además podremos generar y guardar un Archivo-Clave. Este tipo de archivo será un documento que contiene una serie de caracteres aleatorios del tamaño que queremos (a partir de 64 bytes). Cuando queramos montar el volumen cifrado no sólo nos hará falta la contraseña, sino también este archivo. De tal manera que si alguien cuenta con la contraseña por cualquier motivo pero no tiene el archivo llave (o al revés), no podrá acceder a la unidad. No obstante, esto también tiene una contrapartida y es que podemos perder este archivo-clave si no tenemos cuidado con él. Podemos a veces dejarlo en una carpeta del sistema o en una unidad USB sin cifrar, pero siempre es bueno tener una copia de seguridad de todos, incluyendo contraseñas, en algún lugar seguro. Podemos hacer uso de archivos-clave y obviar las contraseñas aunque siempre es recomendable usar ambos. El uso de estos tokens puede resultar beneficioso en ciertas circunstancias cuando no queremos hacer un uso constante de contraseñas largas y fáciles de olvidar.

Formatear volumen

Cuando tengamos la contraseña escogida y/o hayamos creado un archivo-clave, el menú siguiente nos preguntará si deseamos usar la partición para archivos grandes o no. Esto no es importante pero ante la duda, es mejor decantarse por el sí ya que en el siguiente menú nos recomendará un tipo de formato u otro. Si vamos a usar el dispositivo sólo en Linux recomiendo ir directamente a ext3 o ext4. Si lo vamos a usar exclusivamente en windows, una buena opción sería NTFS y si va a ser compartido, aunque también podemos utilizar este último, podría ser más conveniente emplear el exFAT.

Una vez elegido el sistema de archivos, también podemos indicar si queremos hacer un formato rápido o no. Como el disco ejemplar en este caso es un USB, podemos hacer un formateo rápido, lo cual lleva un ahorro de tiempo considerable.

En este último menú podemos incrementar la aleatoriedad de la clave moviendo el ratón dentro de la ventana. Cuantos más movimientos realicemos, más aleatoria en teoría debe ser la clave. Dicho esto, le damos a Formatear y empezará el proceso. Al terminar nos saldrá una ventana diciendo que el volumen Veracrypt ha sido creado con éxito. Le damos a Aceptar y ya estará todo listo. Si hemos optado por crear una partición oculta, nos saldrá un nuevo menú para configurar por separado esa segunda partición.

Manejar volumen cifrado

Con el disco duro o partición cifrada, ahora ha llegado el momento de montar la unidad.

Pinchamos en Montar y nos aparecerá el anterior menú. Aquí debemos poner la contraseña, indicar el tipo de Hash. En el modo Autodetección no suele dar problemas, pero si usamos por ejemplo SHA-512 podemos indicarlo. Si hemos decidido crear también un Archivo-clave deberemos pinchar en esta opción e indicar la ruta del archivo. Una vez hayamos indicado los valores necesarios, el disco duro debe montarse sin problemas y nos aparecerá en el propio entorno de escritorio o bien en el directorio /media.

Explorando el menú de Configuración podemos descubrir muchas de las opciones que trae el programa. Podemos establecer la ruta predeterminado de los Archivos-clave para no tener que introducirlos cada vez, guardar la unidad en la sección de favoritos o activar algunas opciones de seguridad como montar las unidades en modo sólo-lectura. Asimismo, en el apartado Herramientas tenemos algunas utilidades de comprobación. Debemos recordar que también podemos desde aquí, con el volumen montado, cambiar la contraseña o modificar/eliminar los tokens de seguridad. Cuando dejemos de usar el disco, le daremos al botón Desmontar y podremos retirar el disco USB con total seguridad.

A %d blogueros les gusta esto: